OSV-Scanner radi kao prednji dio baze podataka OSV.dev
Google je nedavno izdao OSV-skener, alat koji programerima otvorenog koda daje jednostavan pristup za provjeru nezakrpanih ranjivosti u kodu i aplikacijama, uzimajući u obzir cijeli lanac ovisnosti povezanih s kodom.
OSV-Scanner omogućuje otkrivanje situacija u kojima aplikacija postaje ranjiva zbog problema u jednoj od knjižnica koje se koriste kao ovisnost. U ovom slučaju, ranjiva biblioteka može se koristiti neizravno, tj. pozvati preko druge ovisnosti.
Prošle smo godine poduzeli napor da poboljšamo klasifikaciju ranjivosti za programere i korisnike softvera otvorenog koda. To je uključivalo objavu sheme ranjivosti otvorenog koda (OSV) i pokretanje usluge OSV.dev, prve distribuirane baze podataka ranjivosti otvorenog koda. OSV omogućuje svim različitim ekosustavima otvorenog koda i bazama podataka o ranjivostima objavljivanje i korištenje informacija u jednostavnom, točnom i strojno čitljivom formatu.
Softverski projekti često se grade na vrhu brda ovisnosti: umjesto da počnu od nule, programeri uključuju vanjske softverske biblioteke u projektima i dodati dodatnu funkcionalnost. Međutim, paketi otvorenog kodao često sadrže nedokumentirane isječke koda koji su izvučeni iz drugih knjižnica. Ova praksa stvara što poznata je kao "tranzitivna ovisnost" u softveru i znači da može sadržavati više slojeva ranjivosti kojima je teško ručno ući u trag.
Prijelazne ovisnosti postale su sve veći izvor sigurnosnih rizika otvorenog koda tijekom prošle godine. Nedavno izvješće tvrtke Endor Labs pokazalo je da je 95% ranjivosti otvorenog koda u tranzitivnim ili neizravnim ovisnostima, a zasebno izvješće tvrtke Sonatype također je istaknulo da tranzitivne ovisnosti čine šest od sedam ranjivosti koje utječu na otvoreni kod.
Prema Googleu, novi alat će započeti traženjem ovih tranzitivnih ovisnosti analizom manifesta, softverskih popisa materijala (SBOM-ova) gdje su dostupni, i predanih hash-ova. Zatim će se povezati s bazom podataka ranjivosti otvorenog koda (OSV) za prikaz relevantnih ranjivosti.
OSV skener može automatski rekurzivno skenirati stablo direktorija, identificiranje projekata i aplikacija prisutnošću git direktorija (informacije o ranjivostima utvrđenim analizom hashiranja predaje), SBOM (Softverska lista materijala u formatima SPDX i CycloneDX) datoteka, manifesta ili blokiranja administratora iz arhivskih paketa kao što je Yarn , NPM, GEM, PIP i Cargo. Također podržava skeniranje ispune slika docker spremnika izgrađenih na temelju paketa iz Debianovih repozitorija.
OSV-Scanner je sljedeći korak u ovom nastojanju, budući da pruža službeno podržano sučelje za OSV bazu podataka koja povezuje popis ovisnosti projekta s ranjivostima koje na njih utječu.
La podaci o ranjivostima preuzeti su iz OSV baze podataka (Open Source Vulnerabilities), koji pokriva informacije o sigurnosnim problemima u Srates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian i Alpine, kao i podaci o ranjivosti jezgre Linuxa i izvješća o ranjivosti projekta koji se nalaze na GitHubu.
OSV baza podataka odražava status ispravljanja problema, potvrde s pojavom i ispravkom ranjivosti, raspon verzija zahvaćenih ranjivošću, poveznice na repozitorij projekta s kodom i obavijest o problemu. Navedeni API omogućuje vam da pratite manifestaciju ranjivosti na razini predaje i oznake i analizirate izloženost problemu izvedenih proizvoda i ovisnosti.
Na kraju je vrijedno spomenuti da je kod projekta napisan u Go-u i distribuira se pod licencom Apache 2.0. Više detalja o tome možete provjeriti na sljedećoj poveznici.
Programeri mogu preuzeti i isprobati OSV-Scanner s web stranice osv.dev ili koristiti provjera ranjivosti OpenSSF Scorecard za automatsko pokretanje skenera u GitHub projektu.