OSV-Scanner veikia kaip priekinė OSV.dev duomenų bazės dalis
„Google“ neseniai išleido OSV skaitytuvą, įrankis, suteikiantis atvirojo kodo kūrėjams lengvą prieigą patikrinti, ar kode ir programose nėra nepataisytų spragų, atsižvelgiant į visą su kodu susijusių priklausomybių grandinę.
OSV skaitytuvas leidžia aptikti situacijas, kai programa tampa pažeidžiama dėl problemų vienoje iš bibliotekų, naudojamų kaip priklausomybė. Šiuo atveju pažeidžiama biblioteka gali būti naudojama netiesiogiai, ty iškviečiama per kitą priklausomybę.
Praėjusiais metais ėmėmės pastangų tobulinti atvirojo kodo programinės įrangos kūrėjų ir vartotojų pažeidžiamumo klasifikaciją. Tai apėmė atvirojo kodo pažeidžiamumo schemos (OSV) paskelbimą ir OSV.dev paslaugos – pirmosios paskirstytos atvirojo kodo pažeidžiamumo duomenų bazės – paleidimą. OSV leidžia visoms skirtingoms atvirojo kodo ekosistemoms ir pažeidžiamumo duomenų bazėms skelbti ir naudoti informaciją paprastu, tiksliu ir mašininio skaitomu formatu.
Programinės įrangos projektai dažnai kuriami ant daugybės priklausomybių: užuot pradėję nuo nulio, kūrėjai įtraukia išorines programinės įrangos bibliotekas projektuose ir pridėti papildomų funkcijų. Tačiau atvirojo kodo paketaio dažnai yra nedokumentuotų kodo fragmentų kurie paimti iš kitų bibliotekų. Ši praktika sukuria ką yra žinomas kaip „pereinamosios priklausomybės“ programinėje įrangoje ir reiškia, kad joje gali būti keli pažeidžiamumo sluoksniai, kuriuos sunku atsekti rankiniu būdu.
Per pastaruosius metus pereinamosios priklausomybės tapo vis didesniu atvirojo kodo saugumo rizikos šaltiniu. Neseniai paskelbtoje „Endor Labs“ ataskaitoje nustatyta, kad 95% atvirojo kodo pažeidžiamumų yra trumpalaikės arba netiesioginės priklausomybės, o atskiroje „Sonatype“ ataskaitoje taip pat pabrėžta, kad laikinosios priklausomybės sudaro šešias iš septynių pažeidžiamumų, turinčių įtakos atvirajam šaltiniui.
Pasak „Google“, naujasis įrankis pradės ieškoti šių pereinamųjų priklausomybių analizuodami manifestus, programinės įrangos medžiagų sąskaitas (SBOM), jei įmanoma, ir atlikdami maišą. Tada jis prisijungs prie atvirojo kodo pažeidžiamumo duomenų bazės (OSV), kad būtų rodomi atitinkami pažeidžiamumai.
OSV skaitytuvas gali automatiškai nuskaityti rekursyviai katalogų medis, identifikuojantis projektus ir programas pagal git katalogus (informaciją apie pažeidžiamumus, nustatytus atliekant commit maišos analizę), SBOM (Software Bill Of Material SPDX ir CycloneDX formatais) failus, manifestus arba blokuoja administratorius iš archyvų paketų, tokių kaip Yarn. , NPM, GEM, PIP ir krovinių. Jis taip pat palaiko docker konteinerių vaizdų, sukurtų remiantis paketais iš Debian saugyklų, užpildymo nuskaitymą.
OSV skaitytuvas yra kitas šių pastangų žingsnis, nes jis suteikia oficialiai palaikomą sąsają su OSV duomenų baze, kuri sujungia projekto priklausomybių sąrašą su jas veikiančiais pažeidžiamumu.
La informacija apie pažeidžiamumą paimama iš OSV duomenų bazės (Atvirojo kodo pažeidžiamumas), apimanti informaciją apie saugos problemas Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian ir „Alpine“, taip pat „Linux“ branduolio pažeidžiamumo duomenys ir projekto pažeidžiamumo ataskaitos, priglobtos „GitHub“.
OSV duomenų bazė atspindi problemos taisymo būseną, patvirtinimai su pažeidžiamumo atsiradimu ir pataisymu, pažeidžiamumų paveiktų versijų diapazonas, nuorodos į projekto saugyklą su kodu ir pranešimu apie problemą. Pateikta API leidžia atsekti pažeidžiamumo pasireiškimą įsipareigojimo ir žymos lygiu ir analizuoti išvestinių produktų ir priklausomybių sukeliamą problemą.
Galiausiai verta paminėti, kad projekto kodas parašytas Go ir platinamas pagal Apache 2.0 licenciją. Daugiau informacijos apie tai galite patikrinti šioje nuorodoje.
Kūrėjai gali atsisiųsti ir išbandyti OSV-Scanner iš osv.dev svetainės arba naudoti OpenSSF Scorecard pažeidžiamumo patikrinimas automatiškai paleisti skaitytuvą „GitHub“ projekte.