Google の脆弱性スキャナーである OSV-Scanner

Darkcrizt

4分

OSV スキャナー

OSV-Scanner は、OSV.dev データベースのフロント エンドとして機能します。

Google は最近 OSV-Scanner をリリースしました。 オープンソース開発者に簡単にアクセスできるツール コードとアプリケーションのパッチが適用されていない脆弱性をチェックする、コードに関連付けられた依存関係のチェーン全体を考慮に入れます。

OSV-Scanner を使用すると、依存関係として使用されているライブラリの XNUMX つに問題があるためにアプリケーションが脆弱になる状況を検出できます。 この場合、脆弱なライブラリが間接的に使用される可能性があります。つまり、別の依存関係を介して呼び出される可能性があります。

昨年、マイクロソフトは、オープン ソース ソフトウェアの開発者と消費者向けに脆弱性分類を改善する取り組みを行いました。 これには、オープン ソース脆弱性スキーマ (OSV) の公開と、最初の分散型オープン ソース脆弱性データベースである OSV.dev サービスの開始が含まれます。 OSV を使用すると、さまざまなオープン ソース エコシステムと脆弱性データベースのすべてが、シンプルで正確な機械可読形式で情報を公開および利用できます。

ソフトウェア プロジェクトは多くの場合、依存関係の山の上に構築されます。ゼロから始めるのではなく、 開発者は外部ソフトウェア ライブラリを組み込む プロジェクトで追加機能を追加します。 ただし、オープンソースのパッケージo ド​​キュメント化されていないコードスニペットが含まれていることが多い 他のライブラリから引き出されたもの。 この実践が生み出すもの 「推移的な依存関係」として知られています これは、手動で追跡するのが困難な多層の脆弱性が含まれている可能性があることを意味します。

推移的な依存関係は、この 95 年間でオー​​プン ソース セキュリティ リスクの増大する原因となっています。 Endor Labs の最近のレポートでは、オープンソースの脆弱性の XNUMX% が推移的または間接的な依存関係にあることがわかりました。また、Sonatype からの別のレポートでは、推移的な依存関係がオープン ソースに影響を与える XNUMX つの脆弱性のうち XNUMX つを占めていることも強調されています。

グーグルによると、 新しいツールは、これらの推移的な依存関係を探すことから始めます マニフェスト、ソフトウェア部品表 (SBOM) (利用可能な場合)、およびコミット ハッシュを分析します。 次に、オープン ソースの脆弱性データベース (OSV) に接続して、関連する脆弱性を表示します。

OSV スキャナー 再帰的に自動スキャンできます git ディレクトリ (コミット ハッシュ分析によって特定された脆弱性に関する情報)、SBOM (SPDX および CycloneDX 形式のソフトウェア部品表) ファイル、マニフェスト、または Yarn などのアーカイブ パッケージからのブロック管理者の存在によってプロジェクトとアプリケーションを識別するディレクトリ ツリー、NPM、GEM、PIP、および貨物。 また、Debian リポジトリのパッケージに基づいて構築された Docker コンテナ イメージのパディングのスキャンもサポートしています。

OSV-Scanner は、プロジェクトの依存関係のリストをそれらに影響を与える脆弱性と結び付ける OSV データベースへの公式にサポートされたインターフェイスを提供するため、この取り組みの次のステップです。

La 脆弱性に関する情報は OSV データベースから取得されます (オープン ソースの脆弱性)、Сrates.io (Rust)、Go、Maven、NPM (JavaScript)、NuGet (C#)、Packagist (PHP)、PyPI (Python)、RubyGems、Android、Debian およびAlpine、Linux カーネルの脆弱性データ、および GitHub でホストされているプロジェクトの脆弱性レポート。

OSV データベース 問題の修正ステータスを反映し、 脆弱性の出現と修正の確認、脆弱性の影響を受けるバージョンの範囲、コードを含むプロジェクト リポジトリへのリンク、および問題の通知。 提供されている API を使用すると、脆弱性の顕在化をコミットおよびタグ レベルで追跡し、派生製品および依存関係からの問題への露出を分析できます。

最後に、プロジェクトのコードは Go で書かれており、Apache 2.0 ライセンスの下で配布されていることに言及する価値があります。 詳細については、次のリンクで確認できます。

開発者は、osv.dev Web サイトから OSV-Scanner をダウンロードして試すか、 OpenSSF スコアカードの脆弱性チェック  GitHub プロジェクトでスキャナーを自動的に実行します。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。