OSV-Scanner funguje jako front-end databáze OSV.dev
Google nedávno vydal OSV-Scanner, nástroj, který umožňuje vývojářům open source snadný přístup pro kontrolu neopravených zranitelností v kódu a aplikacíchs přihlédnutím k celému řetězci závislostí spojených s kódem.
OSV-Scanner umožňuje detekovat situace, ve kterých se aplikace stává zranitelnou kvůli problémům v jedné z knihoven používaných jako závislost. V tomto případě lze zranitelnou knihovnu použít nepřímo, tj. volat přes jinou závislost.
Minulý rok jsme se snažili zlepšit klasifikaci zranitelnosti pro vývojáře a spotřebitele softwaru s otevřeným zdrojovým kódem. Jednalo se o zveřejnění open source vulnerability schema (OSV) a spuštění služby OSV.dev, první distribuované open source databáze zranitelnosti. OSV umožňuje všem různým open source ekosystémům a databázím zranitelnosti publikovat a využívat informace v jednoduchém, přesném a strojově čitelném formátu.
Softwarové projekty jsou často stavěny na vrcholu hory závislostí: namísto toho, aby začínaly od nuly vývojáři začleňují externí softwarové knihovny v projektech a přidat další funkce. Nicméně, open source balíčkyo často obsahují nezdokumentované úryvky kódu které jsou staženy z jiných knihoven. Tato praxe vytváří co je známá jako „tranzitivní závislosti“ v softwaru a znamená, že může obsahovat více vrstev zranitelnosti, které je obtížné ručně dohledat.
Přechodné závislosti se za poslední rok staly rostoucím zdrojem open source bezpečnostních rizik. Nedávná zpráva od Endor Labs zjistila, že 95 % zranitelností open source je v tranzitivních nebo nepřímých závislostech, a samostatná zpráva od Sonatype také zdůraznila, že tranzitivní závislosti představují šest ze sedmi zranitelností ovlivňujících open source.
Podle Google nový nástroj začne hledáním těchto tranzitivních závislostí analýzou manifestů, softwarových kusovníků (SBOM), pokud jsou k dispozici, a potvrzením hashů. Poté se připojí k open source databázi zranitelností (OSV) a zobrazí relevantní zranitelnosti.
OSV skener umí automaticky rekurzivně skenovat adresářový strom, identifikující projekty a aplikace podle přítomnosti adresářů git (informace o zranitelnostech zjištěných analýzou hash odevzdání), souborů SBOM (Software Bill Of Material ve formátech SPDX a CycloneDX), manifestů nebo blokování administrátorů z archivních balíčků, jako je Yarn , NPM, GEM, PIP a Cargo. Podporuje také skenování výplní obrazů kontejnerů docker vytvořených na základě balíčků z repozitářů Debianu.
OSV-Scanner je dalším krokem v tomto úsilí, protože poskytuje oficiálně podporované rozhraní k databázi OSV, které propojuje seznam závislostí projektu se zranitelnostmi, které je ovlivňují.
La informace o zranitelnostech jsou převzaty z databáze OSV (Open Source Vulnerabilities), který pokrývá informace o bezpečnostních problémech v Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian a Alpine, stejně jako data o zranitelnosti linuxového jádra a zprávy o zranitelnosti projektů hostované na GitHubu.
Databáze OSV odráží stav opravy problému, potvrzení s výskytem a opravou zranitelnosti, rozsah verzí postižených zranitelností, odkazy na úložiště projektu s kódem a upozornění na problém. Poskytnuté rozhraní API vám umožňuje sledovat projev zranitelnosti na úrovni potvrzení a značky a analyzovat vystavení problému z odvozených produktů a závislostí.
Nakonec stojí za zmínku, že kód projektu je napsán v Go a je distribuován pod licencí Apache 2.0. Další podrobnosti o něm můžete zkontrolovat v následujícím odkazu.
Vývojáři si mohou stáhnout a vyzkoušet OSV-Scanner z webu osv.dev nebo použít kontrola zranitelnosti OpenSSF Scorecard pro automatické spuštění skeneru v projektu GitHub.