OSV-Scanner berfungsi sebagai ujung depan ke database OSV.dev
Google baru-baru ini merilis OSV-Scanner, alat yang memberikan akses mudah bagi pengembang sumber terbuka untuk memeriksa kerentanan yang belum ditambal dalam kode dan aplikasi, dengan mempertimbangkan seluruh rantai ketergantungan yang terkait dengan kode.
OSV-Scanner memungkinkan untuk mendeteksi situasi di mana aplikasi menjadi rentan karena masalah di salah satu perpustakaan yang digunakan sebagai ketergantungan. Dalam hal ini, perpustakaan yang rentan dapat digunakan secara tidak langsung, yaitu dipanggil melalui ketergantungan lain.
Tahun lalu, kami melakukan upaya untuk meningkatkan klasifikasi kerentanan bagi pengembang dan konsumen perangkat lunak sumber terbuka. Ini melibatkan publikasi skema kerentanan sumber terbuka (OSV) dan peluncuran layanan OSV.dev, basis data kerentanan sumber terbuka terdistribusi pertama. OSV memungkinkan semua ekosistem open source dan database kerentanan yang berbeda untuk mempublikasikan dan menggunakan informasi dalam format yang sederhana, akurat, dan dapat dibaca mesin.
Proyek perangkat lunak sering dibangun di atas tumpukan ketergantungan: alih-alih memulai dari awal, proyek pengembang menggabungkan perpustakaan perangkat lunak eksternal dalam proyek dan menambahkan fungsionalitas tambahan. Namun, paket sumber terbukao sering berisi cuplikan kode yang tidak berdokumen yang diekstraksi dari perpustakaan lain. Praktek ini menciptakan apa dikenal sebagai "ketergantungan transitif" dalam perangkat lunak dan artinya mungkin mengandung banyak lapisan kerentanan yang sulit dilacak secara manual.
Ketergantungan transitif telah menjadi sumber risiko keamanan open source yang berkembang selama setahun terakhir. Laporan terbaru dari Endor Labs menemukan bahwa 95% kerentanan open source berada dalam dependensi transitif atau tidak langsung, dan laporan terpisah dari Sonatype juga menyoroti bahwa dependensi transitif menyumbang enam dari tujuh kerentanan yang memengaruhi open source.
Menurut Google, alat baru akan mulai dengan mencari dependensi transitif ini dengan menganalisis manifes, bill of material perangkat lunak (SBOM) jika tersedia, dan melakukan hash. Ini kemudian akan terhubung ke database kerentanan sumber terbuka (OSV) untuk menampilkan kerentanan yang relevan.
Pemindai OSV dapat otomatis memindai secara rekursif pohon direktori, mengidentifikasi proyek dan aplikasi dengan adanya direktori git (informasi tentang kerentanan yang ditentukan melalui analisis hash komit), file SBOM (Bill Of Material Perangkat Lunak dalam format SPDX dan CycloneDX), manifes, atau memblokir administrator dari paket arsip seperti Yarn , NPM, GEM, PIP, dan Kargo. Ini juga mendukung pemindaian padding gambar wadah buruh pelabuhan yang dibuat berdasarkan paket dari repositori Debian.
OSV-Scanner adalah langkah selanjutnya dalam upaya ini, karena menyediakan antarmuka yang didukung secara resmi ke database OSV yang menghubungkan daftar dependensi proyek dengan kerentanan yang memengaruhinya.
La informasi tentang kerentanan diambil dari database OSV (Kerentanan Sumber Terbuka), yang mencakup informasi tentang masalah keamanan di Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian dan Alpine, serta data kerentanan kernel Linux dan laporan kerentanan proyek yang dihosting di GitHub.
Basis data OSV mencerminkan status koreksi masalah, konfirmasi dengan tampilan dan koreksi kerentanan, rentang versi yang terpengaruh oleh kerentanan, tautan ke repositori proyek dengan kode dan pemberitahuan masalah. API yang disediakan memungkinkan Anda melacak manifestasi kerentanan pada level komit dan tag serta menganalisis paparan masalah dari produk turunan dan dependensi.
Terakhir, perlu disebutkan bahwa kode proyek ditulis dalam Go dan didistribusikan di bawah lisensi Apache 2.0. Anda dapat memeriksa rincian lebih lanjut tentang hal itu di link berikut.
Pengembang dapat mengunduh dan mencoba OSV-Scanner dari situs web osv.dev atau menggunakan pemeriksaan kerentanan OpenSSF Scorecard untuk menjalankan pemindai secara otomatis dalam proyek GitHub.