Az OSV-Scanner az OSV.dev adatbázis kezelőfelületeként működik
A Google nemrégiben kiadta az OSV-Scanner-t, egy olyan eszköz, amely könnyű hozzáférést biztosít a nyílt forráskódú fejlesztőknek a kódban és az alkalmazásokban található javítatlan biztonsági rések ellenőrzésére, figyelembe véve a kódhoz kapcsolódó teljes függőségi láncot.
Az OSV-Scanner lehetővé teszi az olyan helyzetek észlelését, amikor egy alkalmazás sebezhetővé válik a függőségként használt könyvtárak egyikének problémái miatt. Ebben az esetben a sebezhető könyvtárat közvetetten, azaz egy másik függőségen keresztül hívhatjuk meg.
Tavaly arra törekedtünk, hogy javítsuk a nyílt forráskódú szoftverek fejlesztői és fogyasztói számára a sebezhetőségi osztályozást. Ez magában foglalta a nyílt forráskódú sebezhetőségi séma (OSV) közzétételét és az OSV.dev szolgáltatás elindítását, amely az első elosztott nyílt forráskódú sebezhetőségi adatbázis. Az OSV lehetővé teszi az összes különböző nyílt forráskódú ökoszisztéma és sebezhetőségi adatbázis számára, hogy egyszerű, pontos és géppel olvasható formátumban tegyen közzé és fogyasszon információkat.
A szoftverprojektek gyakran a függőségek hegyére épülnek: ahelyett, hogy a nulláról indulnának, a a fejlesztők külső szoftverkönyvtárakat építenek be projektekben, és további funkciókat adjon hozzá. Azonban a nyílt forráskódú csomagoko gyakran tartalmaznak nem dokumentált kódrészleteket amelyeket más könyvtárakból kinyertek. Ez a gyakorlat mit teremt „tranzitív függőségeknek” nevezik szoftverben, és azt jelenti, hogy több rétegű sebezhetőséget tartalmazhat, amelyeket nehéz manuálisan nyomon követni.
A tranzitív függőségek a nyílt forráskódú biztonsági kockázatok növekvő forrásává váltak az elmúlt évben. Az Endor Labs legutóbbi jelentése szerint a nyílt forráskódú sebezhetőségek 95%-a tranzitív vagy közvetett függőségekben rejlik, és a Sonatype különálló jelentése is kiemelte, hogy a tranzitív függőségek a nyílt forráskódot érintő hét sérülékenységből hatot okoznak.
A Google szerint az új eszköz ezen tranzitív függőségek keresésével indul a manifesztek, a szoftveres anyagjegyzékek (SBOM-ok) elemzésével, ahol rendelkezésre állnak, és a kivonatokat véglegesítik. Ezután csatlakozik a nyílt forráskódú sebezhetőségi adatbázishoz (OSV) a releváns sebezhetőségek megjelenítéséhez.
OSV szkenner képes automatikus rekurzív keresésre egy könyvtárfa, amely azonosítja a projekteket és alkalmazásokat git-könyvtárak (commit hash elemzéssel meghatározott biztonsági résekkel kapcsolatos információk), SBOM (Software Bill Of Material SPDX és CycloneDX formátumú) fájlok, jegyzékek, vagy blokkolja a rendszergazdákat az archív csomagokból, például a Yarnból. , NPM, GEM, PIP és Cargo. Támogatja a Debian tárolókból származó csomagok alapján készült docker konténerképek kitöltésének vizsgálatát is.
Az OSV-Scanner ennek a törekvésnek a következő lépése, mivel hivatalosan támogatott felületet biztosít az OSV-adatbázishoz, amely összekapcsolja a projekt függőségeinek listáját az azokat érintő sérülékenységekkel.
La a sebezhetőségekre vonatkozó információkat az OSV adatbázisból veszik (Nyílt forráskódú sebezhetőségek), amely információkat tartalmaz a Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian és Az Alpine, valamint a Linux kernel sebezhetőségi adatai és a projektek sebezhetőségi jelentései a GitHubon tárolva.
Az OSV adatbázis tükrözi a hibajavítás állapotát, visszaigazolások a sérülékenység megjelenésével és javításával, a sérülékenység által érintett verziók körével, a projekt tárházára mutató hivatkozásokkal a kóddal és a probléma bejelentésével. A biztosított API lehetővé teszi a biztonsági rés megnyilvánulásának nyomon követését a véglegesítés és a címke szintjén, valamint a származékos termékekből és függőségekből származó probléma kitettségének elemzését.
Végül érdemes megemlíteni, hogy a projekt kódja Go nyelven íródott, és az Apache 2.0 licenc alatt kerül terjesztésre. Az alábbi linken tájékozódhat róla bővebben.
A fejlesztők letölthetik és kipróbálhatják az OSV-Scannert az osv.dev webhelyről vagy használhatják az OpenSSF Scorecard sebezhetőségi ellenőrzése a szkenner automatikus futtatásához egy GitHub-projektben.