OSV-Scanner OSV.dev ડેટાબેઝના ફ્રન્ટ એન્ડ તરીકે કામ કરે છે
ગૂગલે તાજેતરમાં OSV-સ્કેનર બહાર પાડ્યું, એક સાધન જે ઓપન સોર્સ ડેવલપરને સરળ ઍક્સેસ આપે છે કોડ અને એપ્લિકેશન્સમાં અનપેચ્ડ નબળાઈઓ તપાસવા માટે, કોડ સાથે સંકળાયેલ નિર્ભરતાની સમગ્ર સાંકળને ધ્યાનમાં લેતા.
OSV-સ્કેનર એવી પરિસ્થિતિઓને શોધવાની મંજૂરી આપે છે જેમાં નિર્ભરતા તરીકે ઉપયોગમાં લેવાતી લાઇબ્રેરીઓમાંની એકમાં સમસ્યાઓને કારણે એપ્લિકેશન સંવેદનશીલ બને છે. આ કિસ્સામાં, સંવેદનશીલ પુસ્તકાલયનો ઉપયોગ પરોક્ષ રીતે થઈ શકે છે, એટલે કે અન્ય નિર્ભરતા દ્વારા બોલાવવામાં આવે છે.
ગયા વર્ષે, અમે ઓપન સોર્સ સૉફ્ટવેરના વિકાસકર્તાઓ અને ગ્રાહકો માટે નબળાઈ વર્ગીકરણને સુધારવાનો પ્રયાસ હાથ ધર્યો હતો. આમાં ઓપન સોર્સ નબળાઈ સ્કીમા (OSV) ના પ્રકાશન અને OSV.dev સેવાની શરૂઆત સામેલ છે, જે પ્રથમ વિતરિત ઓપન સોર્સ નબળાઈ ડેટાબેઝ છે. OSV તમામ વિવિધ ઓપન સોર્સ ઇકોસિસ્ટમ્સ અને નબળાઈ ડેટાબેસેસને સરળ, સચોટ અને મશીન-વાંચી શકાય તેવા ફોર્મેટમાં માહિતીને પ્રકાશિત કરવા અને વપરાશ કરવા માટે સક્ષમ કરે છે.
સૉફ્ટવેર પ્રોજેક્ટ્સ ઘણીવાર નિર્ભરતાના પર્વતની ટોચ પર બાંધવામાં આવે છે: શરૂઆતથી શરૂ કરવાને બદલે, વિકાસકર્તાઓ બાહ્ય સોફ્ટવેર લાઇબ્રેરીઓનો સમાવેશ કરે છે પ્રોજેક્ટ્સમાં અને વધારાની કાર્યક્ષમતા ઉમેરો. જો કે, ઓપન સોર્સ પેકેજોo ઘણીવાર બિનદસ્તાવેજીકૃત કોડ સ્નિપેટ્સ ધરાવે છે જે અન્ય પુસ્તકાલયોમાંથી ખેંચવામાં આવે છે. આ પ્રથા શું બનાવે છે "સંક્રમિત અવલંબન" તરીકે ઓળખાય છે સૉફ્ટવેરમાં અને તેનો અર્થ એ છે કે તેમાં નબળાઈના બહુવિધ સ્તરો હોઈ શકે છે જેને મેન્યુઅલી ટ્રેસ કરવું મુશ્કેલ છે.
સંક્રમિત અવલંબન છેલ્લા વર્ષમાં ઓપન સોર્સ સુરક્ષા જોખમનો વધતો સ્ત્રોત બની ગયો છે. એન્ડોર લેબ્સના તાજેતરના અહેવાલમાં જાણવા મળ્યું છે કે 95% ઓપન સોર્સ નબળાઈઓ ટ્રાન્ઝિટિવ અથવા પરોક્ષ નિર્ભરતામાં છે, અને સોનાટાઈપના એક અલગ રિપોર્ટમાં એ પણ પ્રકાશિત કરવામાં આવ્યું છે કે ઓપન સોર્સને અસર કરતી સાતમાંથી છ નબળાઈઓ માટે ટ્રાન્ઝિટિવ ડિપેન્ડન્સીઝ જવાબદાર છે.
ગુગલના જણાવ્યા મુજબ, નવું સાધન આ ટ્રાન્ઝિટિવ ડિપેન્ડન્સીને શોધીને શરૂ થશે મેનિફેસ્ટનું પૃથ્થકરણ કરીને, જ્યાં ઉપલબ્ધ હોય ત્યાં સૉફ્ટવેર બિલ્સ ઑફ મટિરિયલ્સ (SBOMs) અને હેશ મોકલો. તે પછી સંબંધિત નબળાઈઓ પ્રદર્શિત કરવા માટે ઓપન સોર્સ નબળાઈ ડેટાબેઝ (OSV) સાથે કનેક્ટ થશે.
OSV સ્કેનર પુનરાવર્તિત રીતે ઓટો સ્કેન કરી શકે છે ડાયરેક્ટરી ટ્રી, ગિટ ડિરેક્ટરીઓ (કમિટ હેશ વિશ્લેષણ દ્વારા નિર્ધારિત નબળાઈઓ વિશેની માહિતી), SBOM (SPDX અને CycloneDX ફોર્મેટમાં સામગ્રીનું સોફ્ટવેર બિલ) ફાઈલો, મેનિફેસ્ટ અથવા યાર્ન જેવા આર્કાઇવ પેકેજોમાંથી બ્લોક એડમિનિસ્ટ્રેટર્સની હાજરી દ્વારા પ્રોજેક્ટ્સ અને એપ્લિકેશનોને ઓળખવા. , NPM, GEM, PIP, અને કાર્ગો. તે ડેબિયન રિપોઝીટરીઝના પેકેજો પર આધારિત ડોકર કન્ટેનર ઈમેજોના પેડિંગને સ્કેન કરવાનું પણ સપોર્ટ કરે છે.
OSV-સ્કેનર એ આ પ્રયાસનું આગલું પગલું છે, કારણ કે તે OSV ડેટાબેઝને અધિકૃત રીતે સપોર્ટેડ ઈન્ટરફેસ પૂરો પાડે છે જે પ્રોજેક્ટની નિર્ભરતાઓની સૂચિને તેમને અસર કરતી નબળાઈઓ સાથે જોડે છે.
La નબળાઈઓ વિશેની માહિતી OSV ડેટાબેઝમાંથી લેવામાં આવી છે (ઓપન સોર્સ નબળાઈઓ), જે Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian અને માં સુરક્ષા સમસ્યાઓ વિશેની માહિતીને આવરી લે છે. આલ્પાઇન, તેમજ GitHub પર હોસ્ટ કરેલ Linux કર્નલ નબળાઈ ડેટા અને પ્રોજેક્ટ નબળાઈ અહેવાલો.
OSV ડેટાબેઝ સમસ્યા સુધારણા સ્થિતિને પ્રતિબિંબિત કરે છે, નબળાઈના દેખાવ અને સુધારણા, નબળાઈથી પ્રભાવિત સંસ્કરણોની શ્રેણી, કોડ સાથે પ્રોજેક્ટ રીપોઝીટરીની લિંક્સ અને સમસ્યાની સૂચના સાથેની પુષ્ટિ. પ્રદાન કરેલ API તમને પ્રતિબદ્ધતા અને ટેગ સ્તરે નબળાઈના અભિવ્યક્તિને શોધી કાઢવા અને વ્યુત્પન્ન ઉત્પાદનો અને નિર્ભરતાઓમાંથી સમસ્યાના સંપર્કનું વિશ્લેષણ કરવાની મંજૂરી આપે છે.
છેલ્લે એ ઉલ્લેખનીય છે કે પ્રોજેક્ટ કોડ Go માં લખાયેલ છે અને Apache 2.0 લાયસન્સ હેઠળ વિતરિત કરવામાં આવે છે. તમે નીચેની લિંક પર તેના વિશે વધુ વિગતો ચકાસી શકો છો.
વિકાસકર્તાઓ osv.dev વેબસાઈટ પરથી OSV-સ્કેનર ડાઉનલોડ કરી અજમાવી શકે છે અથવા ઉપયોગ કરી શકે છે OpenSSF સ્કોરકાર્ડ નબળાઈ તપાસ GitHub પ્રોજેક્ટમાં સ્કેનરને આપમેળે ચલાવવા માટે.