OSV-Scanner toimii OSV.dev-tietokannan käyttöliittymänä
Google julkaisi äskettäin OSV-Scannerin, työkalu, joka tarjoaa avoimen lähdekoodin kehittäjille helpon pääsyn tarkistaaksesi koodin ja sovellusten korjaamattomia haavoittuvuuksia, ottaen huomioon koko koodiin liittyvän riippuvuusketjun.
OSV-Scannerin avulla voidaan havaita tilanteet, joissa sovelluksesta tulee haavoittuva riippuvuutena käytetyn kirjaston ongelmien vuoksi. Tässä tapauksessa haavoittuvaa kirjastoa voidaan käyttää epäsuorasti eli kutsua toisen riippuvuuden kautta.
Viime vuonna ryhdyimme parantamaan avoimen lähdekoodin ohjelmistojen kehittäjien ja kuluttajien haavoittuvuusluokitusta. Tämä sisälsi avoimen lähdekoodin haavoittuvuusskeeman (OSV) julkaisemisen ja OSV.dev-palvelun, ensimmäisen hajautetun avoimen lähdekoodin haavoittuvuustietokannan, käynnistämisen. OSV mahdollistaa kaikkien avoimen lähdekoodin ekosysteemien ja haavoittuvuustietokantojen julkaisemisen ja kulutuksen yksinkertaisessa, tarkassa ja koneellisesti luettavassa muodossa.
Ohjelmistoprojektit rakennetaan usein riippuvuuksien vuoren huipulle: sen sijaan, että ne aloitettaisiin tyhjästä, kehittäjät sisällyttävät ulkoisia ohjelmistokirjastoja projekteissa ja lisää toimintoja. Kuitenkin avoimen lähdekoodin paketito sisältävät usein dokumentoimattomia koodinpätkiä jotka on poimittu muista kirjastoista. Tämä käytäntö luo mitä tunnetaan "transitiivisina riippuvuuksina" ohjelmistossa ja tarkoittaa, että se voi sisältää useita haavoittuvuuksia, joita on vaikea jäljittää manuaalisesti.
Transitiivisista riippuvuuksista on tullut kasvava avoimen lähdekoodin tietoturvariskin lähde viimeisen vuoden aikana. Endor Labsin tuoreessa raportissa todettiin, että 95 % avoimen lähdekoodin haavoittuvuuksista on transitiivisia tai epäsuoria riippuvuuksia, ja Sonatypen erillisessä raportissa korostettiin myös, että transitiiviset riippuvuudet muodostavat kuusi seitsemästä avoimeen lähdekoodiin vaikuttavasta haavoittuvuudesta.
Googlen mukaan uusi työkalu alkaa etsimällä näitä transitiivisia riippuvuuksia analysoimalla luetteloita, ohjelmistoluetteloita (SBOM), jos niitä on saatavilla, ja sitoa tiivisteitä. Sen jälkeen se muodostaa yhteyden avoimen lähdekoodin haavoittuvuustietokantaan (OSV) näyttääkseen asiaankuuluvat haavoittuvuudet.
OSV-skanneri voi skannata automaattisesti rekursiivisesti hakemistopuu, joka tunnistaa projektit ja sovellukset git-hakemistojen (commit hash -analyysin avulla määritettyjen haavoittuvuuksien), SBOM (Software Bill Of Material SPDX- ja CycloneDX-muodoissa) -tiedostojen, luetteloiden tai järjestelmänvalvojien estojen perusteella arkistopaketteista, kuten Yarnista. , NPM, GEM, PIP ja Cargo. Se tukee myös Debian-varastojen pakettien perusteella rakennettujen Docker-säilön kuvien täytön tarkistamista.
OSV-Scanner on seuraava askel tässä hankkeessa, sillä se tarjoaa virallisesti tuetun käyttöliittymän OSV-tietokantaan, joka yhdistää projektin riippuvuuksien luettelon niihin vaikuttaviin haavoittuvuuksiin.
La tiedot haavoittuvuuksista otetaan OSV-tietokannasta (Avoimen lähdekoodin haavoittuvuudet), joka kattaa tiedot tietoturvaongelmista seuraavissa: Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian ja Alpine- ja Linux-ytimen haavoittuvuustiedot ja projektien haavoittuvuusraportit isännöidään GitHubissa.
OSV-tietokanta kuvastaa ongelman korjaustilaa, vahvistukset haavoittuvuuden ilmaantumisesta ja korjauksesta, haavoittuvuuden kohteena olevien versioiden valikoimasta, linkit projektin arkistoon koodilla ja ilmoitus ongelmasta. Mukana toimitetun API:n avulla voit jäljittää haavoittuvuuden ilmentymisen sitoutumis- ja tagitasolla ja analysoida johdannaistuotteista ja riippuvuuksista johtuvaa ongelmaa.
Lopuksi on syytä mainita, että projektikoodi on kirjoitettu Go-kielellä ja sitä jaetaan Apache 2.0 -lisenssillä. Voit tarkistaa sen tarkemmin oheisesta linkistä.
Kehittäjät voivat ladata ja kokeilla OSV-Scanneria osv.dev-sivustolta tai käyttää sitä OpenSSF Scorecard -haavoittuvuuden tarkistus suorittaaksesi skannerin automaattisesti GitHub-projektissa.