OSV-Scanner töötab andmebaasi OSV.dev esiosana
Google andis hiljuti välja OSV-skanneri, tööriist, mis annab avatud lähtekoodiga arendajatele lihtsa juurdepääsu koodi ja rakenduste parandamata turvaaukude kontrollimiseks, võttes arvesse kogu koodiga seotud sõltuvuste ahelat.
OSV-skanner võimaldab tuvastada olukordi, kus rakendus muutub haavatavaks mõne sõltuvusena kasutatava teegi probleemide tõttu. Sel juhul saab haavatavat teeki kasutada kaudselt, st välja kutsuda mõne muu sõltuvuse kaudu.
Eelmisel aastal püüdsime parandada avatud lähtekoodiga tarkvara arendajate ja tarbijate haavatavuse klassifikatsiooni. See hõlmas avatud lähtekoodiga haavatavuse skeemi (OSV) avaldamist ja teenuse OSV.dev käivitamist, mis on esimene hajutatud avatud lähtekoodiga haavatavuste andmebaas. OSV võimaldab kõigil erinevatel avatud lähtekoodiga ökosüsteemidel ja haavatavuse andmebaasidel avaldada ja tarbida teavet lihtsas, täpses ja masinloetavas vormingus.
Tarkvaraprojektid on sageli üles ehitatud sõltuvuste mäe otsa: selle asemel, et alustada nullist, arendajad kaasavad väliseid tarkvarateeke projektides ja lisage täiendavaid funktsioone. Küll aga avatud lähtekoodiga paketido sisaldavad sageli dokumenteerimata koodilõike mis on võetud teistest raamatukogudest. See praktika loob mida on tuntud kui "transitiivsed sõltuvused" tarkvaras ja tähendab, et see võib sisaldada mitut haavatavuse kihti, mida on raske käsitsi jälgida.
Transitiivsed sõltuvused on viimase aasta jooksul muutunud kasvavaks avatud lähtekoodiga turvariskide allikaks. Endor Labsi hiljutises aruandes leiti, et 95% avatud lähtekoodiga haavatavustest on transitiivsetes või kaudsetes sõltuvustes ning Sonatype'i eraldi aruanne tõi samuti esile, et transitiivsed sõltuvused moodustavad kuus avatud lähtekoodiga haavatavusest seitsmest.
Google'i sõnul uus tööriist alustab nende transitiivsete sõltuvuste otsimisega analüüsides manifeste, tarkvaraarveid (SBOM-e), kui need on saadaval, ja räsisid. Seejärel loob see ühenduse avatud lähtekoodiga haavatavuste andmebaasiga (OSV), et kuvada asjakohased haavatavused.
OSV skanner saab automaatselt rekursiivselt skannida kataloogipuu, mis tuvastab projektid ja rakendused git-kataloogide (teave haavatavuste kohta, mis määratakse commit hash-analüüsi abil), SBOM-failide (SPDX- ja CycloneDX-vormingus tarkvaramaterjal) olemasolu, manifesti või blokeerivad administraatorid arhiivipakettide (nt Yarn) olemasolu järgi. , NPM, GEM, PIP ja Cargo. Samuti toetab see Debiani hoidlate pakettide põhjal loodud dokkimiskonteinerite kujutiste polstri skannimist.
OSV-skanner on selle jõupingutuse järgmine samm, kuna see pakub ametlikult toetatud liidest OSV andmebaasile, mis ühendab projekti sõltuvuste loendi neid mõjutavate haavatavustega.
La teave haavatavuste kohta võetakse OSV andmebaasist (avatud lähtekoodiga haavatavused), mis hõlmab teavet turvaprobleemide kohta järgmistes versioonides: Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian ja Alpine, aga ka Linuxi kerneli haavatavuse andmed ja projekti haavatavuse aruanded, mida hostitakse GitHubis.
OSV andmebaas peegeldab probleemi parandamise olekut, kinnitused haavatavuse ilmumise ja parandamisega, haavatavusest mõjutatud versioonide vahemik, lingid projektihoidlale koos koodiga ja teatega probleemist. Pakutav API võimaldab teil jälgida haavatavuse avaldumist kohustuse ja sildi tasemel ning analüüsida tuletistoodete ja sõltuvuste probleemiga kokkupuudet.
Lõpuks tasub mainida, et projekti kood on kirjutatud Go-s ja seda levitatakse Apache 2.0 litsentsi all. Lisateavet selle kohta saate vaadata järgmiselt lingilt.
Arendajad saavad OSV-Scannerit alla laadida ja proovida veebisaidilt osv.dev või kasutada OpenSSF Scorecard haavatavuse kontroll skanneri automaatseks käivitamiseks GitHubi projektis.