OSV-स्कैनर OSV.dev डेटाबेस के फ्रंट एंड के रूप में काम करता है
Google ने हाल ही में OSV-स्कैनर जारी किया, एक उपकरण जो ओपन सोर्स डेवलपर्स को आसान पहुंच प्रदान करता है कोड और एप्लिकेशन में पैच न की गई कमजोरियों की जांच करने के लिए, कोड से जुड़ी निर्भरता की पूरी श्रृंखला को ध्यान में रखते हुए।
ओएसवी-स्कैनर उन स्थितियों का पता लगाने की अनुमति देता है जिनमें एक निर्भरता के रूप में उपयोग किए जाने वाले पुस्तकालयों में से एक में समस्याओं के कारण एक आवेदन कमजोर हो जाता है। इस मामले में, कमजोर पुस्तकालय का अप्रत्यक्ष रूप से उपयोग किया जा सकता है, अर्थात किसी अन्य निर्भरता के माध्यम से कहा जाता है।
पिछले साल, हमने ओपन सोर्स सॉफ़्टवेयर के डेवलपर्स और उपभोक्ताओं के लिए भेद्यता वर्गीकरण में सुधार करने का प्रयास किया। इसमें ओपन सोर्स भेद्यता स्कीमा (OSV) का प्रकाशन और OSV.dev सेवा का लॉन्च शामिल है, जो पहला वितरित ओपन सोर्स भेद्यता डेटाबेस है। OSV सभी अलग-अलग ओपन सोर्स इकोसिस्टम और भेद्यता डेटाबेस को एक सरल, सटीक और मशीन-पठनीय प्रारूप में जानकारी प्रकाशित करने और उपभोग करने में सक्षम बनाता है।
सॉफ़्टवेयर प्रोजेक्ट अक्सर निर्भरताओं के पहाड़ के ऊपर बनाए जाते हैं: खरोंच से शुरू करने के बजाय, डेवलपर्स बाहरी सॉफ्टवेयर पुस्तकालयों को शामिल करते हैं परियोजनाओं में और अतिरिक्त कार्यक्षमता जोड़ें। हालाँकि, ओपन सोर्स पैकेजओ में अक्सर बिना दस्तावेज वाले कोड स्निपेट होते हैं जो अन्य पुस्तकालयों से खींचे जाते हैं। यह अभ्यास क्या बनाता है "सकर्मक निर्भरता" के रूप में जाना जाता है सॉफ्टवेयर में और इसका मतलब है कि इसमें भेद्यता की कई परतें हो सकती हैं जिन्हें मैन्युअल रूप से ट्रेस करना मुश्किल होता है।
सकर्मक निर्भरता पिछले वर्ष की तुलना में खुले स्रोत सुरक्षा जोखिम का बढ़ता स्रोत बन गई है। एंडोर लैब्स की एक हालिया रिपोर्ट में पाया गया कि 95% ओपन सोर्स भेद्यता सकर्मक या अप्रत्यक्ष निर्भरता में हैं, और सोनाटाइप की एक अलग रिपोर्ट में यह भी बताया गया है कि ट्रांजिटिव डिपेंडेंसी ओपन सोर्स को प्रभावित करने वाली सात में से छह कमजोरियों के लिए जिम्मेदार है।
Google के अनुसार, नया उपकरण इन सकर्मक निर्भरताओं की तलाश करके शुरू होगा मैनिफ़ेस्ट का विश्लेषण करके, सामग्री के सॉफ़्टवेयर बिल (एसबीओएम) जहां उपलब्ध हों, और हैश करें। यह प्रासंगिक कमजोरियों को प्रदर्शित करने के लिए ओपन सोर्स भेद्यता डेटाबेस (OSV) से जुड़ जाएगा।
ओएसवी स्कैनर पुनरावर्ती रूप से स्वतः स्कैन कर सकता है एक निर्देशिका वृक्ष, गिट निर्देशिकाओं की उपस्थिति से परियोजनाओं और अनुप्रयोगों की पहचान करना (प्रतिबद्ध हैश विश्लेषण के माध्यम से निर्धारित कमजोरियों के बारे में जानकारी), एसबीओएम (एसपीडीएक्स और साइक्लोनडीएक्स प्रारूपों में सामग्री का सॉफ्टवेयर बिल) फ़ाइलें, मैनिफ़ेस्ट, या यार्न जैसे आर्काइव पैकेज से व्यवस्थापकों को ब्लॉक करना , NPM, GEM, PIP और कार्गो। यह डेबियन रिपॉजिटरी से पैकेज के आधार पर निर्मित डॉकटर कंटेनर इमेज की पैडिंग को स्कैन करने का भी समर्थन करता है।
OSV-स्कैनर इस प्रयास का अगला चरण है, क्योंकि यह OSV डेटाबेस को एक आधिकारिक रूप से समर्थित इंटरफ़ेस प्रदान करता है जो प्रोजेक्ट की निर्भरताओं की सूची को उन कमजोरियों से जोड़ता है जो उन्हें प्रभावित करती हैं।
La कमजोरियों के बारे में जानकारी OSV डेटाबेस से ली गई है (ओपन सोर्स भेद्यता), जिसमें Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian और में सुरक्षा मुद्दों के बारे में जानकारी शामिल है। अल्पाइन, साथ ही लिनक्स कर्नेल भेद्यता डेटा और परियोजना भेद्यता रिपोर्ट GitHub पर होस्ट की गई।
ओएसवी डेटाबेस समस्या सुधार स्थिति को दर्शाता है, भेद्यता की उपस्थिति और सुधार के साथ पुष्टि, भेद्यता से प्रभावित संस्करणों की श्रेणी, कोड के साथ प्रोजेक्ट रिपॉजिटरी से लिंक और समस्या की सूचना। प्रदान किया गया एपीआई आपको कमिट और टैग स्तर पर भेद्यता की अभिव्यक्ति का पता लगाने और डेरिवेटिव उत्पादों और निर्भरताओं से समस्या के जोखिम का विश्लेषण करने की अनुमति देता है।
अंत में यह उल्लेखनीय है कि प्रोजेक्ट कोड गो में लिखा गया है और अपाचे 2.0 लाइसेंस के तहत वितरित किया गया है। आप इसके बारे में अधिक जानकारी निम्न लिंक में देख सकते हैं।
विकासकर्ता OSV-Scanner को osv.dev वेबसाइट से डाउनलोड कर सकते हैं या प्रयोग कर सकते हैं OpenSSF स्कोरकार्ड भेद्यता जांच GitHub प्रोजेक्ट में स्कैनर को स्वचालित रूप से चलाने के लिए।