OSV-Scanner darbojas kā OSV.dev datu bāzes priekšgals
Google nesen izlaida OSV skeneri, rīks, kas nodrošina atvērtā pirmkoda izstrādātājiem vieglu piekļuvi lai pārbaudītu, vai kodā un lietojumprogrammās nav ievainojamību, ņemot vērā visu ar kodu saistīto atkarību ķēdi.
OSV-skeneris ļauj atklāt situācijas, kurās lietojumprogramma kļūst neaizsargāta, jo rodas problēmas kādā no bibliotēkām, kas tiek izmantotas kā atkarība. Šajā gadījumā ievainojamo bibliotēku var izmantot netieši, ti, izsaukt, izmantojot citu atkarību.
Pagājušajā gadā mēs centāmies uzlabot ievainojamību klasifikāciju atvērtā pirmkoda programmatūras izstrādātājiem un patērētājiem. Tas ietvēra atvērtā pirmkoda ievainojamības shēmas (OSV) publicēšanu un pakalpojuma OSV.dev, pirmās izplatītās atvērtā pirmkoda ievainojamību datubāzes, palaišanu. OSV ļauj visām dažādajām atvērtā pirmkoda ekosistēmām un ievainojamību datu bāzēm publicēt un patērēt informāciju vienkāršā, precīzā un mašīnlasāmā formātā.
Programmatūras projekti bieži tiek veidoti uz atkarību kalna virsotnes: tā vietā, lai sāktu no nulles, izstrādātāji iekļauj ārējās programmatūras bibliotēkas projektos un pievienot papildu funkcionalitāti. Tomēr atvērtā pirmkoda pakotneso bieži satur nedokumentētus koda fragmentus kas ir iegūti no citām bibliotēkām. Šī prakse rada ko ir pazīstams kā "pārejas atkarības" programmatūrā un nozīmē, ka tajā var būt vairāki ievainojamības līmeņi, kurus ir grūti manuāli izsekot.
Pēdējā gada laikā pārejas atkarības ir kļuvušas par pieaugošu atvērtā koda drošības riska avotu. Nesenajā Endor Labs ziņojumā konstatēts, ka 95% atvērtā koda ievainojamību ir pārejoša vai netieša atkarība, un atsevišķā Sonatype ziņojumā arī uzsvērts, ka pārejošas atkarības veido sešas no septiņām ievainojamībām, kas ietekmē atvērto avotu.
Pēc Google domām, jaunais rīks sāksies, meklējot šīs pārejošās atkarības analizējot manifestus, programmatūras materiālu rēķinus (SBOM), ja tie ir pieejami, un veikt jaucējumus. Pēc tam tas izveidos savienojumu ar atvērtā pirmkoda ievainojamību datu bāzi (OSV), lai parādītu attiecīgās ievainojamības.
OSV skeneris var automātiski skenēt rekursīvi direktoriju koks, kas identificē projektus un lietojumprogrammas pēc git direktoriju klātbūtnes (informācija par ievainojamībām, kas noteiktas, izmantojot commit hash analīzi), SBOM (Software Bill Of Material SPDX un CycloneDX formātos) failus, manifestus vai bloķē administratorus no arhīva pakotnēm, piemēram, Yarn. , NPM, GEM, PIP un kravas. Tā atbalsta arī to docker konteineru attēlu polsterējuma skenēšanu, kas izveidoti, pamatojoties uz pakotnēm no Debian krātuvēm.
OSV-skeneris ir nākamais solis šajos centienos, jo tas nodrošina oficiāli atbalstītu saskarni OSV datu bāzei, kas savieno projekta atkarību sarakstu ar ievainojamībām, kas tās ietekmē.
La informācija par ievainojamībām tiek ņemta no OSV datu bāzes (Atvērtā pirmkoda ievainojamības), kas aptver informāciju par drošības problēmām pakalpojumos Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian un Alpine, kā arī Linux kodola ievainojamības dati un projektu ievainojamības pārskati, kas mitināti vietnē GitHub.
OSV datu bāze atspoguļo problēmas labošanas statusu, apstiprinājumi ar ievainojamības parādīšanos un labošanu, ievainojamības skarto versiju diapazons, saites uz projekta repozitoriju ar kodu un paziņojumu par problēmu. Nodrošinātā API ļauj izsekot ievainojamības izpausmēm saistību un atzīmju līmenī un analizēt atvasināto produktu un atkarību problēmas ietekmi.
Visbeidzot, ir vērts pieminēt, ka projekta kods ir rakstīts Go un tiek izplatīts saskaņā ar Apache 2.0 licenci. Sīkāku informāciju par to varat pārbaudīt nākamajā saitē.
Izstrādātāji var lejupielādēt un izmēģināt OSV-Scanner no vietnes osv.dev vai izmantot OpenSSF Scorecard ievainojamības pārbaude lai automātiski palaistu skeneri GitHub projektā.