OSV-Scanner פועל כממשק קצה למסד הנתונים OSV.dev
גוגל הוציאה לאחרונה את OSV-Scanner, כלי שנותן למפתחי קוד פתוח גישה נוחה כדי לבדוק נקודות תורפה לא מתוקנות בקוד ובאפליקציות, תוך התחשבות בכל שרשרת התלות הקשורה לקוד.
OSV-Scanner מאפשר לזהות מצבים בהם אפליקציה הופכת לפגיעה עקב בעיות באחת מהספריות המשמשות כתלות. במקרה זה, ניתן להשתמש בספרייה הפגיעה בעקיפין, כלומר לקרוא דרך תלות אחרת.
בשנה שעברה, עשינו מאמץ לשפר את סיווג הפגיעות עבור מפתחים וצרכנים של תוכנות קוד פתוח. זה כלל פרסום של סכימת הפגיעות של הקוד הפתוח (OSV) והשקת שירות OSV.dev, מסד הנתונים המבוזר הראשון של פגיעות קוד פתוח. OSV מאפשר לכל המערכות האקולוגיות השונות של קוד פתוח ומסדי נתונים של פגיעות לפרסם ולצרוך מידע בפורמט פשוט, מדויק וניתן לקריאה במכונה.
פרויקטי תוכנה נבנים לרוב על גבי הר של תלות: במקום להתחיל מאפס, ה מפתחים משלבים ספריות תוכנה חיצוניות בפרויקטים ולהוסיף פונקציונליות נוספת. עם זאת, חבילות קוד פתוחo מכילים לעתים קרובות קטעי קוד לא מתועדים שנשלפים מספריות אחרות. תרגול זה יוצר מה מכונה "תלות טרנזיטיבית" בתוכנה ופירושו שהיא עשויה להכיל מספר שכבות של פגיעות שקשה לאתר אותן באופן ידני.
תלות טרנזיטיבית הפכה למקור הולך וגדל של סיכון אבטחה בקוד פתוח במהלך השנה האחרונה. דוח שנערך לאחרונה מאת Endor Labs מצא כי 95% מהחולשות בקוד פתוח נמצאות בתלות מעברית או עקיפה, ודוח נפרד מ-Sonatype הדגיש גם שתלות מעברית מהווה שש מתוך שבע פגיעויות המשפיעות על קוד פתוח.
על פי גוגל, הכלי החדש יתחיל בחיפוש אחר התלות הטרנזיטיבית הללו על ידי ניתוח מניפסטים, רשימות חומרי תוכנה (SBOM) היכן שזמינות ו-hashs. לאחר מכן הוא יתחבר למסד הנתונים של קוד פתוח (OSV) כדי להציג פגיעויות רלוונטיות.
סורק OSV יכול לסרוק אוטומטית באופן רקורסיבי עץ ספריות, זיהוי פרויקטים ויישומים על ידי נוכחות של ספריות git (מידע על פגיעויות שנקבעו באמצעות ניתוח commit hash), SBOM (Software Bill Of Material בפורמטים SPDX ו-CycloneDX) קבצים, מניפסטים או חסימת מנהלי מערכת מחבילות ארכיון כגון Yarn , NPM, GEM, PIP ומטען. זה גם תומך בסריקת ריפוד של תמונות קונטיינר של docker שנבנו על בסיס חבילות ממאגרי דביאן.
ה-OSV-Scanner הוא השלב הבא במאמץ זה, מכיוון שהוא מספק ממשק נתמך רשמית למסד הנתונים של OSV המחבר בין רשימת התלות של פרויקט לבין נקודות התורפה המשפיעות עליהם.
La מידע על פגיעויות נלקח ממסד הנתונים של OSV (חולשות קוד פתוח), המכסה מידע על בעיות אבטחה ב-Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian ו Alpine, כמו גם נתוני פגיעות ליבת לינוקס ודוחות פגיעות פרויקטים המתארחים ב-GitHub.
מסד הנתונים של OSV משקף את מצב תיקון הבעיה, אישורים עם הופעת ותיקון של הפגיעות, מגוון הגרסאות המושפעות מהפגיעות, קישורים למאגר הפרויקט עם הקוד וההודעה על הבעיה. ה-API המסופק מאפשר לך להתחקות אחר ביטוי של פגיעות ברמת ה-commit והתג ולנתח את החשיפה לנושא ממוצרים ותלות נגזרות.
לבסוף כדאי להזכיר שקוד הפרויקט כתוב ב-Go ומופץ תחת רישיון Apache 2.0. אתה יכול לבדוק פרטים נוספים על זה בקישור הבא.
מפתחים יכולים להוריד ולנסות את OSV-Scanner מהאתר osv.dev או להשתמש בדיקת הפגיעות של OpenSSF Scorecard להפעיל אוטומטית את הסורק בפרויקט GitHub.