OSV-ಸ್ಕ್ಯಾನರ್, Google ನಿಂದ ದುರ್ಬಲತೆಯ ಸ್ಕ್ಯಾನರ್

ಗೂಗಲ್ ಇತ್ತೀಚೆಗೆ OSV-ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ, ಓಪನ್ ಸೋರ್ಸ್ ಡೆವಲಪರ್‌ಗಳಿಗೆ ಸುಲಭ ಪ್ರವೇಶವನ್ನು ನೀಡುವ ಸಾಧನ ಕೋಡ್ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಅನ್‌ಪ್ಯಾಚ್ ಮಾಡದ ದೋಷಗಳನ್ನು ಪರಿಶೀಲಿಸಲು, ಕೋಡ್‌ಗೆ ಸಂಬಂಧಿಸಿದ ಅವಲಂಬನೆಗಳ ಸಂಪೂರ್ಣ ಸರಪಳಿಯನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುವುದು.

OSV-ಸ್ಕ್ಯಾನರ್ ಅವಲಂಬನೆಯಾಗಿ ಬಳಸಲಾಗುವ ಲೈಬ್ರರಿಗಳಲ್ಲಿನ ಸಮಸ್ಯೆಗಳಿಂದಾಗಿ ಅಪ್ಲಿಕೇಶನ್ ದುರ್ಬಲಗೊಳ್ಳುವ ಸಂದರ್ಭಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಅನುಮತಿಸುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ದುರ್ಬಲ ಗ್ರಂಥಾಲಯವನ್ನು ಪರೋಕ್ಷವಾಗಿ ಬಳಸಬಹುದು, ಅಂದರೆ ಇನ್ನೊಂದು ಅವಲಂಬನೆಯ ಮೂಲಕ ಕರೆಯಲಾಗುತ್ತದೆ.

ಕಳೆದ ವರ್ಷ, ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನ ಡೆವಲಪರ್‌ಗಳು ಮತ್ತು ಗ್ರಾಹಕರಿಗೆ ದುರ್ಬಲತೆಯ ವರ್ಗೀಕರಣವನ್ನು ಸುಧಾರಿಸುವ ಪ್ರಯತ್ನವನ್ನು ನಾವು ಕೈಗೊಂಡಿದ್ದೇವೆ. ಇದು ಓಪನ್ ಸೋರ್ಸ್ ವಲ್ನರಬಿಲಿಟಿ ಸ್ಕೀಮಾ (OSV) ಪ್ರಕಟಣೆ ಮತ್ತು OSV.dev ಸೇವೆಯ ಪ್ರಾರಂಭವನ್ನು ಒಳಗೊಂಡಿತ್ತು, ಇದು ಮೊದಲ ವಿತರಿಸಲಾದ ಓಪನ್ ಸೋರ್ಸ್ ದುರ್ಬಲತೆ ಡೇಟಾಬೇಸ್. OSV ಎಲ್ಲಾ ವಿಭಿನ್ನ ತೆರೆದ ಮೂಲ ಪರಿಸರ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ದುರ್ಬಲತೆಯ ಡೇಟಾಬೇಸ್‌ಗಳನ್ನು ಸರಳ, ನಿಖರ ಮತ್ತು ಯಂತ್ರ-ಓದಬಲ್ಲ ಸ್ವರೂಪದಲ್ಲಿ ಮಾಹಿತಿಯನ್ನು ಪ್ರಕಟಿಸಲು ಮತ್ತು ಸೇವಿಸಲು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತದೆ.

ಸಾಫ್ಟ್‌ವೇರ್ ಯೋಜನೆಗಳನ್ನು ಹೆಚ್ಚಾಗಿ ಅವಲಂಬನೆಗಳ ಪರ್ವತದ ಮೇಲೆ ನಿರ್ಮಿಸಲಾಗುತ್ತದೆ: ಮೊದಲಿನಿಂದ ಪ್ರಾರಂಭಿಸುವ ಬದಲು, ಡೆವಲಪರ್‌ಗಳು ಬಾಹ್ಯ ಸಾಫ್ಟ್‌ವೇರ್ ಲೈಬ್ರರಿಗಳನ್ನು ಸಂಯೋಜಿಸುತ್ತಾರೆ ಯೋಜನೆಗಳಲ್ಲಿ ಮತ್ತು ಹೆಚ್ಚುವರಿ ಕಾರ್ಯವನ್ನು ಸೇರಿಸಿ. ಆದಾಗ್ಯೂ, ಓಪನ್ ಸೋರ್ಸ್ ಪ್ಯಾಕೇಜುಗಳುo ಸಾಮಾನ್ಯವಾಗಿ ದಾಖಲೆರಹಿತ ಕೋಡ್ ತುಣುಕುಗಳನ್ನು ಹೊಂದಿರುತ್ತದೆ ಇತರ ಗ್ರಂಥಾಲಯಗಳಿಂದ ಹೊರತೆಗೆಯಲಾಗಿದೆ. ಈ ಅಭ್ಯಾಸವು ಏನನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ ಇದನ್ನು "ಟ್ರಾನ್ಸಿಟಿವ್ ಅವಲಂಬನೆಗಳು" ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ ಸಾಫ್ಟ್‌ವೇರ್‌ನಲ್ಲಿ ಮತ್ತು ಇದು ಹಸ್ತಚಾಲಿತವಾಗಿ ಪತ್ತೆಹಚ್ಚಲು ಕಷ್ಟಕರವಾದ ದುರ್ಬಲತೆಯ ಬಹು ಪದರಗಳನ್ನು ಹೊಂದಿರಬಹುದು ಎಂದರ್ಥ.

ಟ್ರಾನ್ಸಿಟಿವ್ ಅವಲಂಬನೆಗಳು ಕಳೆದ ವರ್ಷದಲ್ಲಿ ತೆರೆದ ಮೂಲ ಭದ್ರತಾ ಅಪಾಯದ ಬೆಳವಣಿಗೆಯ ಮೂಲವಾಗಿದೆ. ಎಂಡೋರ್ ಲ್ಯಾಬ್ಸ್‌ನ ಇತ್ತೀಚಿನ ವರದಿಯು 95% ರಷ್ಟು ತೆರೆದ ಮೂಲ ದೋಷಗಳು ಟ್ರಾನ್ಸಿಟಿವ್ ಅಥವಾ ಪರೋಕ್ಷ ಅವಲಂಬನೆಗಳಲ್ಲಿವೆ ಎಂದು ಕಂಡುಹಿಡಿದಿದೆ ಮತ್ತು ಸೋನಾಟೈಪ್‌ನ ಪ್ರತ್ಯೇಕ ವರದಿಯು ಓಪನ್ ಸೋರ್ಸ್ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಏಳು ದುರ್ಬಲತೆಗಳಲ್ಲಿ ಆರು ಟ್ರಾನ್ಸಿಟಿವ್ ಅವಲಂಬನೆಗಳನ್ನು ಹೊಂದಿದೆ ಎಂದು ಹೈಲೈಟ್ ಮಾಡಿದೆ.

ಗೂಗಲ್ ಪ್ರಕಾರ, ಈ ಟ್ರಾನ್ಸಿಟಿವ್ ಅವಲಂಬನೆಗಳನ್ನು ಹುಡುಕುವ ಮೂಲಕ ಹೊಸ ಉಪಕರಣವು ಪ್ರಾರಂಭವಾಗುತ್ತದೆ ಮ್ಯಾನಿಫೆಸ್ಟ್‌ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಮೂಲಕ, ಸಾಮಗ್ರಿಗಳ ಸಾಫ್ಟ್‌ವೇರ್ ಬಿಲ್‌ಗಳು (SBOM ಗಳು) ಲಭ್ಯವಿರುವಲ್ಲಿ ಮತ್ತು ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬದ್ಧಗೊಳಿಸುತ್ತವೆ. ಸಂಬಂಧಿತ ದುರ್ಬಲತೆಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು ಅದು ತೆರೆದ ಮೂಲ ದುರ್ಬಲತೆ ಡೇಟಾಬೇಸ್ (OSV) ಗೆ ಸಂಪರ್ಕಗೊಳ್ಳುತ್ತದೆ.

OSV ಸ್ಕ್ಯಾನರ್ ಪುನರಾವರ್ತಿತವಾಗಿ ಸ್ವಯಂ ಸ್ಕ್ಯಾನ್ ಮಾಡಬಹುದು ಡೈರೆಕ್ಟರಿ ಟ್ರೀ, ಜಿಟ್ ಡೈರೆಕ್ಟರಿಗಳ ಉಪಸ್ಥಿತಿಯಿಂದ ಪ್ರಾಜೆಕ್ಟ್‌ಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಗುರುತಿಸುವುದು (ಕಮಿಟ್ ಹ್ಯಾಶ್ ವಿಶ್ಲೇಷಣೆಯ ಮೂಲಕ ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿ), SBOM (SPDX ಮತ್ತು CycloneDX ಫಾರ್ಮ್ಯಾಟ್‌ಗಳಲ್ಲಿ ಸಾಫ್ಟ್‌ವೇರ್ ಬಿಲ್ ಆಫ್ ಮೆಟೀರಿಯಲ್) ಫೈಲ್‌ಗಳು, ಮ್ಯಾನಿಫೆಸ್ಟ್‌ಗಳು ಅಥವಾ ಯಾರ್ನ್‌ನಂತಹ ಆರ್ಕೈವ್ ಪ್ಯಾಕೇಜ್‌ಗಳಿಂದ ನಿರ್ವಾಹಕರನ್ನು ನಿರ್ಬಂಧಿಸಿ , NPM, GEM, PIP, ಮತ್ತು ಕಾರ್ಗೋ. ಡೆಬಿಯನ್ ರೆಪೊಸಿಟರಿಗಳಿಂದ ಪ್ಯಾಕೇಜ್‌ಗಳ ಆಧಾರದ ಮೇಲೆ ನಿರ್ಮಿಸಲಾದ ಡಾಕರ್ ಕಂಟೇನರ್ ಚಿತ್ರಗಳ ಪ್ಯಾಡಿಂಗ್ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವುದನ್ನು ಸಹ ಇದು ಬೆಂಬಲಿಸುತ್ತದೆ.

OSV-ಸ್ಕ್ಯಾನರ್ ಈ ಪ್ರಯತ್ನದಲ್ಲಿ ಮುಂದಿನ ಹಂತವಾಗಿದೆ, ಏಕೆಂದರೆ ಇದು OSV ಡೇಟಾಬೇಸ್‌ಗೆ ಅಧಿಕೃತವಾಗಿ ಬೆಂಬಲಿತ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಒದಗಿಸುತ್ತದೆ, ಇದು ಯೋಜನೆಯ ಅವಲಂಬನೆಗಳ ಪಟ್ಟಿಯನ್ನು ಅವುಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ದುರ್ಬಲತೆಗಳೊಂದಿಗೆ ಸಂಪರ್ಕಿಸುತ್ತದೆ.

La ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು OSV ಡೇಟಾಬೇಸ್‌ನಿಂದ ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ (ಓಪನ್ ಸೋರ್ಸ್ ದುರ್ಬಲತೆಗಳು), ಇದು Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian ಮತ್ತು ಸುರಕ್ಷತಾ ಸಮಸ್ಯೆಗಳ ಕುರಿತು ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ ಆಲ್ಪೈನ್, ಹಾಗೆಯೇ ಲಿನಕ್ಸ್ ಕರ್ನಲ್ ದುರ್ಬಲತೆ ಡೇಟಾ ಮತ್ತು ಪ್ರಾಜೆಕ್ಟ್ ದುರ್ಬಲತೆಯ ವರದಿಗಳನ್ನು GitHub ನಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ.

OSV ಡೇಟಾಬೇಸ್ ಸಮಸ್ಯೆ ಸರಿಪಡಿಸುವ ಸ್ಥಿತಿಯನ್ನು ಪ್ರತಿಬಿಂಬಿಸುತ್ತದೆ, ದುರ್ಬಲತೆಯ ನೋಟ ಮತ್ತು ತಿದ್ದುಪಡಿಯೊಂದಿಗೆ ದೃಢೀಕರಣಗಳು, ದುರ್ಬಲತೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುವ ಆವೃತ್ತಿಗಳ ಶ್ರೇಣಿ, ಕೋಡ್ ಮತ್ತು ಸಮಸ್ಯೆಯ ಅಧಿಸೂಚನೆಯೊಂದಿಗೆ ಯೋಜನೆಯ ರೆಪೊಸಿಟರಿಗೆ ಲಿಂಕ್‌ಗಳು. ಒದಗಿಸಿದ API ನಿಮಗೆ ಬದ್ಧತೆ ಮತ್ತು ಟ್ಯಾಗ್ ಮಟ್ಟದಲ್ಲಿ ದುರ್ಬಲತೆಯ ಅಭಿವ್ಯಕ್ತಿಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಮತ್ತು ಉತ್ಪನ್ನ ಉತ್ಪನ್ನಗಳು ಮತ್ತು ಅವಲಂಬನೆಗಳಿಂದ ಸಮಸ್ಯೆಗೆ ಒಡ್ಡುವಿಕೆಯನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.

ಅಂತಿಮವಾಗಿ ಪ್ರಾಜೆಕ್ಟ್ ಕೋಡ್ ಅನ್ನು ಗೋದಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು ಅಪಾಚೆ 2.0 ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗಿದೆ ಎಂದು ನಮೂದಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ. ಕೆಳಗಿನ ಲಿಂಕ್‌ನಲ್ಲಿ ನೀವು ಅದರ ಬಗ್ಗೆ ಹೆಚ್ಚಿನ ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು.

ಡೆವಲಪರ್‌ಗಳು osv.dev ವೆಬ್‌ಸೈಟ್‌ನಿಂದ OSV-ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ಪ್ರಯತ್ನಿಸಬಹುದು ಅಥವಾ ಬಳಸಬಹುದು OpenSSF ಸ್ಕೋರ್‌ಕಾರ್ಡ್ ದುರ್ಬಲತೆ ಪರಿಶೀಲನೆ  GitHub ಯೋಜನೆಯಲ್ಲಿ ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಚಲಾಯಿಸಲು.