Το OSV-Scanner λειτουργεί ως διεπαφή στη βάση δεδομένων OSV.dev
Η Google κυκλοφόρησε πρόσφατα το OSV-Scanner, ένα εργαλείο που δίνει στους προγραμματιστές ανοιχτού κώδικα εύκολη πρόσβαση για έλεγχο για μη επιδιορθωμένα τρωτά σημεία σε κώδικα και εφαρμογές, λαμβάνοντας υπόψη ολόκληρη την αλυσίδα των εξαρτήσεων που σχετίζονται με τον κώδικα.
Το OSV-Scanner επιτρέπει τον εντοπισμό καταστάσεων στις οποίες μια εφαρμογή καθίσταται ευάλωτη λόγω προβλημάτων σε μία από τις βιβλιοθήκες που χρησιμοποιούνται ως εξάρτηση. Σε αυτήν την περίπτωση, η ευάλωτη βιβλιοθήκη μπορεί να χρησιμοποιηθεί έμμεσα, δηλαδή να κληθεί μέσω άλλης εξάρτησης.
Πέρυσι, κάναμε μια προσπάθεια βελτίωσης της ταξινόμησης ευπάθειας για προγραμματιστές και καταναλωτές λογισμικού ανοιχτού κώδικα. Αυτό περιλάμβανε τη δημοσίευση του σχήματος ευπάθειας ανοιχτού κώδικα (OSV) και την κυκλοφορία της υπηρεσίας OSV.dev, της πρώτης διανεμημένης βάσης δεδομένων ευπάθειας ανοιχτού κώδικα. Το OSV επιτρέπει σε όλα τα διαφορετικά οικοσυστήματα ανοιχτού κώδικα και βάσεις δεδομένων ευπάθειας να δημοσιεύουν και να καταναλώνουν πληροφορίες σε μια απλή, ακριβή και αναγνώσιμη από μηχανή μορφή.
Τα έργα λογισμικού συχνά χτίζονται στην κορυφή ενός βουνού εξαρτήσεων: αντί να ξεκινούν από το μηδέν, το Οι προγραμματιστές ενσωματώνουν εξωτερικές βιβλιοθήκες λογισμικού σε έργα και να προσθέσετε πρόσθετη λειτουργικότητα. Ωστόσο, πακέτα ανοιχτού κώδικαo συχνά περιέχουν μη τεκμηριωμένα αποσπάσματα κώδικα που εξάγονται από άλλες βιβλιοθήκες. Αυτή η πρακτική δημιουργεί τι είναι γνωστές ως «μεταβατικές εξαρτήσεις» σε λογισμικό και σημαίνει ότι μπορεί να περιέχει πολλαπλά επίπεδα ευπάθειας που είναι δύσκολο να εντοπιστούν με μη αυτόματο τρόπο.
Οι μεταβατικές εξαρτήσεις έχουν γίνει μια αυξανόμενη πηγή κινδύνου για την ασφάλεια ανοιχτού κώδικα τον τελευταίο χρόνο. Μια πρόσφατη αναφορά από την Endor Labs διαπίστωσε ότι το 95% των ευπαθειών ανοιχτού κώδικα βρίσκονται σε μεταβατικές ή έμμεσες εξαρτήσεις και μια ξεχωριστή αναφορά από τη Sonatype τόνισε επίσης ότι οι μεταβατικές εξαρτήσεις αντιπροσωπεύουν έξι από τις επτά ευπάθειες που επηρεάζουν τον ανοιχτό κώδικα.
Σύμφωνα με την Google, το νέο εργαλείο θα ξεκινήσει αναζητώντας αυτές τις μεταβατικές εξαρτήσεις με την ανάλυση των δηλώσεων, των λογαριασμών υλικών λογισμικού (SBOMs) όπου είναι διαθέσιμα, και τη δέσμευση κατακερματισμών. Στη συνέχεια θα συνδεθεί στη βάση δεδομένων ευπάθειας ανοιχτού κώδικα (OSV) για να εμφανίσει σχετικές ευπάθειες.
Σαρωτής OSV μπορεί να κάνει αυτόματη σάρωση αναδρομικά ένα δέντρο καταλόγου, που αναγνωρίζει έργα και εφαρμογές με την παρουσία καταλόγων git (πληροφορίες σχετικά με τρωτά σημεία που προσδιορίζονται μέσω ανάλυσης κατακερματισμού δέσμευσης), SBOM (Λογισμικό Bill Of Material σε μορφές SPDX και CycloneDX) αρχεία, δηλώσεις ή αποκλεισμό διαχειριστών από πακέτα αρχειοθέτησης όπως το Yarn , NPM, GEM, PIP και Cargo. Υποστηρίζει επίσης τη σάρωση της συμπλήρωσης εικόνων κοντέινερ docker που έχουν δημιουργηθεί με βάση πακέτα από τα αποθετήρια του Debian.
Το OSV-Scanner είναι το επόμενο βήμα σε αυτήν την προσπάθεια, καθώς παρέχει μια επίσημα υποστηριζόμενη διεπαφή στη βάση δεδομένων OSV που συνδέει τη λίστα εξαρτήσεων ενός έργου με τα τρωτά σημεία που τα επηρεάζουν.
La Οι πληροφορίες σχετικά με τα τρωτά σημεία λαμβάνονται από τη βάση δεδομένων OSV (Ερωτικά σημεία ανοιχτού κώδικα), το οποίο καλύπτει πληροφορίες σχετικά με ζητήματα ασφάλειας στο Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian και Alpine, καθώς και δεδομένα ευπάθειας πυρήνα Linux και αναφορές ευπάθειας έργου που φιλοξενούνται στο GitHub.
Η βάση δεδομένων OSV αντικατοπτρίζει την κατάσταση διόρθωσης προβλήματος, επιβεβαιώσεις με την εμφάνιση και τη διόρθωση της ευπάθειας, το εύρος των εκδόσεων που επηρεάζονται από την ευπάθεια, συνδέσμους στο χώρο αποθήκευσης του έργου με τον κωδικό και την ειδοποίηση του προβλήματος. Το παρεχόμενο API σάς επιτρέπει να παρακολουθείτε την εκδήλωση ευπάθειας σε επίπεδο δέσμευσης και ετικέτας και να αναλύετε την έκθεση στο ζήτημα από παράγωγα προϊόντα και εξαρτήσεις.
Τέλος, αξίζει να αναφέρουμε ότι ο κώδικας του έργου είναι γραμμένος στο Go και διανέμεται με την άδεια Apache 2.0. Μπορείτε να δείτε περισσότερες λεπτομέρειες σχετικά με αυτό στον παρακάτω σύνδεσμο.
Οι προγραμματιστές μπορούν να κατεβάσουν και να δοκιμάσουν το OSV-Scanner από τον ιστότοπο osv.dev ή να το χρησιμοποιήσουν ο έλεγχος ευπάθειας του OpenSSF Scorecard για αυτόματη εκτέλεση του σαρωτή σε ένα έργο GitHub.