OSV-स्कॅनर, Google कडून एक असुरक्षा स्कॅनर

Google ने नुकतेच OSV-Scanner जारी केले, एक साधन जे मुक्त स्रोत विकसकांना सुलभ प्रवेश देते कोड आणि ऍप्लिकेशन्समधील असुरक्षितता तपासण्यासाठी, कोडशी संबंधित अवलंबनांची संपूर्ण साखळी विचारात घेऊन.

OSV-स्कॅनर अवलंबित्व म्हणून वापरल्या जाणार्‍या लायब्ररीतील समस्यांमुळे अनुप्रयोग असुरक्षित बनलेल्या परिस्थितींचा शोध घेण्यास अनुमती देतो. या प्रकरणात, असुरक्षित लायब्ररी अप्रत्यक्षपणे वापरली जाऊ शकते, म्हणजे दुसर्या अवलंबनाद्वारे कॉल केली जाऊ शकते.

गेल्या वर्षी, आम्ही विकसक आणि मुक्त स्त्रोत सॉफ्टवेअरच्या ग्राहकांसाठी असुरक्षा वर्गीकरण सुधारण्याचा प्रयत्न केला. यामध्ये ओपन सोर्स व्हल्नरेबिलिटी स्कीमा (OSV) चे प्रकाशन आणि OSV.dev सेवा लाँच करणे, पहिला वितरित ओपन सोर्स असुरक्षा डेटाबेस समाविष्ट आहे. OSV सर्व भिन्न मुक्त स्रोत इकोसिस्टम आणि असुरक्षितता डेटाबेसला एका साध्या, अचूक आणि मशीन-वाचनीय स्वरूपात माहिती प्रकाशित आणि वापरण्यास सक्षम करते.

सॉफ्टवेअर प्रकल्प अनेकदा अवलंबित्वाच्या डोंगरावर बांधले जातात: सुरवातीपासून सुरू होण्याऐवजी, विकासक बाह्य सॉफ्टवेअर लायब्ररी समाविष्ट करतात प्रकल्पांमध्ये आणि अतिरिक्त कार्यक्षमता जोडा. तथापि, ओपन सोर्स पॅकेजेसo मध्ये अनेकदा कागदपत्र नसलेले कोड स्निपेट्स असतात जे इतर लायब्ररीतून काढले जातात. ही सराव काय तयार करते "संक्रामक अवलंबन" म्हणून ओळखले जाते सॉफ्टवेअरमध्ये आणि याचा अर्थ असा आहे की त्यात असुरक्षिततेचे एकाधिक स्तर असू शकतात ज्याचा मॅन्युअली ट्रेस करणे कठीण आहे.

संक्रमणात्मक अवलंबित्व हे गेल्या वर्षभरात ओपन सोर्स सुरक्षेच्या जोखमीचे वाढणारे स्रोत बनले आहे. Endor Labs च्या अलीकडील अहवालात असे आढळून आले आहे की 95% ओपन सोर्स असुरक्षा संक्रमणात्मक किंवा अप्रत्यक्ष अवलंबित्वांमध्ये आहेत आणि Sonatype च्या एका वेगळ्या अहवालात हे देखील अधोरेखित करण्यात आले आहे की ओपन सोर्सवर परिणाम करणाऱ्या सात पैकी सहा असुरक्षा आहेत.

गूगलच्या मते, नवीन साधन या ट्रान्झिटिव्ह अवलंबनांचा शोध घेऊन सुरू होईल मॅनिफेस्‍टचे विश्‍लेषण करून, उपलब्‍ध असलेल्‍या मटेरियलची सॉफ्टवेअर बिले (SBOMs) आणि कमिट हॅश. त्यानंतर ते संबंधित भेद्यता प्रदर्शित करण्यासाठी ओपन सोर्स व्हलनरेबिलिटी डेटाबेस (OSV) शी कनेक्ट होईल.

OSV स्कॅनर रिकर्सिवली स्वयं स्कॅन करू शकतो डिरेक्टरी ट्री, गिट डिरेक्टरीज (कमिट हॅश विश्लेषणाद्वारे निर्धारित असुरक्षांबद्दलची माहिती), SBOM (SPDX आणि CycloneDX फॉरमॅट्समधील सॉफ्टवेअर बिल ऑफ मटेरियल) फायली, मॅनिफेस्ट किंवा यार्नसारख्या संग्रहण पॅकेजेसवरील प्रशासकांना ब्लॉक करून प्रकल्प आणि अनुप्रयोग ओळखणे. , NPM, GEM, PIP, आणि कार्गो. हे डेबियन रेपॉजिटरीजमधील पॅकेजेसवर आधारित डॉकर कंटेनर प्रतिमांचे पॅडिंग स्कॅन करण्यास देखील समर्थन देते.

OSV-स्कॅनर ही या प्रयत्नातील पुढची पायरी आहे, कारण ते OSV डेटाबेसला अधिकृतपणे समर्थित इंटरफेस प्रदान करते जे प्रकल्पाच्या अवलंबनांची सूची त्यांना प्रभावित करणार्‍या भेद्यतेशी जोडते.

La भेद्यतेबद्दल माहिती OSV डेटाबेसमधून घेतली जाते (ओपन सोर्स व्हल्नेरेबिलिटीज), जे Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), पॅकेजिस्ट (PHP), PyPI (Python), RubyGems, Android, Debian आणि मधील सुरक्षा समस्यांबद्दल माहिती समाविष्ट करते. अल्पाइन, तसेच लिनक्स कर्नल असुरक्षा डेटा आणि GitHub वर होस्ट केलेले प्रोजेक्ट असुरक्षा अहवाल.

OSV डेटाबेस समस्या सुधारण्याची स्थिती प्रतिबिंबित करते, असुरक्षिततेचे स्वरूप आणि सुधारणेसह पुष्टीकरण, भेद्यतेमुळे प्रभावित आवृत्त्यांची श्रेणी, कोडसह प्रकल्प भांडाराचे दुवे आणि समस्येची सूचना. प्रदान केलेले API तुम्हाला कमिट आणि टॅग स्तरावर असुरक्षिततेचे प्रकटीकरण शोधू देते आणि व्युत्पन्न उत्पादने आणि अवलंबनांमधून समस्येच्या प्रदर्शनाचे विश्लेषण करू देते.

शेवटी हे नमूद करण्यासारखे आहे की प्रोजेक्ट कोड Go मध्ये लिहिलेला आहे आणि Apache 2.0 लायसन्स अंतर्गत वितरित केला आहे. आपण खालील लिंकवर याबद्दल अधिक तपशील तपासू शकता.

विकसक osv.dev वेबसाइटवरून OSV-Scanner डाउनलोड करू शकतात किंवा वापरून पाहू शकतात OpenSSF स्कोअरकार्ड भेद्यता तपासणी  GitHub प्रोजेक्टमध्ये स्कॅनर स्वयंचलितपणे चालवण्यासाठी.