OSV-Scanner, Google의 취약점 스캐너

Google은 최근 OSV-Scanner를 출시했습니다. 오픈 소스 개발자에게 쉬운 액세스를 제공하는 도구 코드 및 애플리케이션에서 패치되지 않은 취약점을 확인하기 위해, 코드와 관련된 전체 종속성 체인을 고려합니다.

OSV-Scanner를 사용하면 종속성으로 사용되는 라이브러리 중 하나의 문제로 인해 애플리케이션이 취약해지는 상황을 감지할 수 있습니다. 이 경우 취약한 라이브러리를 간접적으로 사용할 수 있습니다. 즉, 다른 종속성을 통해 호출할 수 있습니다.

작년에 우리는 오픈 소스 소프트웨어 개발자와 소비자를 위한 취약성 분류를 개선하기 위한 노력을 기울였습니다. 여기에는 오픈 소스 취약성 스키마(OSV)의 게시와 최초의 분산형 오픈 소스 취약성 데이터베이스인 OSV.dev 서비스의 출시가 포함되었습니다. OSV는 다양한 오픈 소스 에코시스템과 취약성 데이터베이스가 간단하고 정확하며 기계가 읽을 수 있는 형식으로 정보를 게시하고 사용할 수 있도록 합니다.

소프트웨어 프로젝트는 종종 산더미 같은 종속성 위에 구축됩니다. 개발자는 외부 소프트웨어 라이브러리를 통합합니다. 프로젝트에서 추가 기능을 추가합니다. 그러나 오픈 소스 패키지o 종종 문서화되지 않은 코드 스니펫을 포함합니다. 다른 라이브러리에서 가져옵니다. 이 연습은 무엇을 만듭니다 "전이 종속성"으로 알려져 있습니다. 수동으로 추적하기 어려운 여러 계층의 취약성을 포함할 수 있음을 의미합니다.

전이 종속성은 작년에 오픈 소스 보안 위험의 증가하는 원인이 되었습니다. Endor Labs의 최근 보고서에 따르면 오픈 소스 취약성의 95%가 전이적 또는 간접적 종속성에 있으며 Sonatype의 별도 보고서에서도 전이적 종속성이 오픈 소스에 영향을 미치는 XNUMX개 취약점 중 XNUMX개를 설명한다고 강조했습니다.

Google에 따르면 새 도구는 이러한 전이적 종속성을 찾는 것으로 시작합니다. 사용 가능한 경우 매니페스트, 소프트웨어 SBOM(재료 명세서) 및 커밋 해시를 분석합니다. 그런 다음 오픈 소스 취약성 데이터베이스(OSV)에 연결하여 관련 취약성을 표시합니다.

OSV 스캐너 재귀적으로 자동 스캔 가능 디렉토리 트리, git 디렉토리(커밋 해시 분석을 통해 결정된 취약성에 대한 정보), SBOM(SPDX 및 CycloneDX 형식의 소프트웨어 명세서) 파일, 매니페스트 또는 Yarn과 같은 아카이브 패키지의 블록 관리자의 존재로 프로젝트 및 애플리케이션을 식별합니다. , NPM, GEM, PIP 및 화물. 또한 Debian 리포지토리의 패키지를 기반으로 빌드된 도커 컨테이너 이미지의 패딩 스캔을 지원합니다.

OSV-Scanner는 프로젝트의 종속성 목록을 종속성에 영향을 미치는 취약성과 연결하는 OSV 데이터베이스에 대해 공식적으로 지원되는 인터페이스를 제공하므로 이러한 노력의 다음 단계입니다.

La 취약성에 대한 정보는 OSV 데이터베이스에서 가져옵니다. (오픈 소스 취약성) - Сrates.io(Rust), Go, Maven, NPM(JavaScript), NuGet(C#), Packagist(PHP), PyPI(Python), RubyGems, Android, Debian 및 Alpine, Linux 커널 취약성 데이터 및 프로젝트 취약성 보고서는 GitHub에서 호스팅됩니다.

OSV 데이터베이스 문제 수정 상태를 반영하고, 취약점의 모양 및 수정, 취약점의 영향을 받는 버전 범위, 코드가 포함된 프로젝트 리포지토리 링크 및 문제 알림에 대한 확인. 제공된 API를 통해 커밋 및 태그 수준에서 취약점의 징후를 추적하고 파생 제품 및 종속성에서 문제에 대한 노출을 분석할 수 있습니다.

마지막으로 프로젝트 코드가 Go로 작성되었으며 Apache 2.0 라이선스에 따라 배포된다는 점을 언급할 가치가 있습니다. 이에 대한 자세한 내용은 다음 링크에서 확인하실 수 있습니다.

개발자는 osv.dev 웹사이트에서 OSV-Scanner를 다운로드하여 사용해 보거나 사용할 수 있습니다. OpenSSF Scorecard 취약점 검사  GitHub 프로젝트에서 스캐너를 자동으로 실행합니다.