OSV-Scanner berfungsi sebagai bahagian hadapan pangkalan data OSV.dev
Google baru-baru ini mengeluarkan OSV-Scanner, alat yang memberikan akses mudah kepada pembangun sumber terbuka untuk menyemak kelemahan yang tidak ditambal dalam kod dan aplikasi, dengan mengambil kira keseluruhan rantaian kebergantungan yang dikaitkan dengan kod tersebut.
OSV-Scanner membolehkan untuk mengesan situasi di mana aplikasi menjadi terdedah disebabkan masalah dalam salah satu perpustakaan yang digunakan sebagai kebergantungan. Dalam kes ini, perpustakaan yang terdedah boleh digunakan secara tidak langsung, iaitu dipanggil melalui pergantungan lain.
Tahun lepas, kami menjalankan usaha untuk meningkatkan klasifikasi kerentanan untuk pembangun dan pengguna perisian sumber terbuka. Ini melibatkan penerbitan skema kerentanan sumber terbuka (OSV) dan pelancaran perkhidmatan OSV.dev, pangkalan data kerentanan sumber terbuka yang pertama diedarkan. OSV membolehkan semua ekosistem sumber terbuka yang berbeza dan pangkalan data kerentanan untuk menerbitkan dan menggunakan maklumat dalam format yang mudah, tepat dan boleh dibaca oleh mesin.
Projek perisian selalunya dibina di atas gunung kebergantungan: bukannya bermula dari awal, projek pembangun menggabungkan perpustakaan perisian luaran dalam projek dan menambah fungsi tambahan. Walau bagaimanapun, pakej sumber terbukao selalunya mengandungi coretan kod tidak berdokumen yang ditarik dari perpustakaan lain. Amalan ini mewujudkan apa dikenali sebagai "kebergantungan transitif" dalam perisian dan bermakna ia mungkin mengandungi berbilang lapisan kerentanan yang sukar untuk dikesan secara manual.
Kebergantungan transitif telah menjadi sumber risiko keselamatan sumber terbuka yang semakin meningkat sepanjang tahun lepas. Laporan terbaru daripada Endor Labs mendapati bahawa 95% daripada kelemahan sumber terbuka adalah dalam kebergantungan transitif atau tidak langsung, dan laporan berasingan daripada Sonatype turut menyerlahkan bahawa kebergantungan transitif menyumbang enam daripada tujuh kelemahan yang mempengaruhi sumber terbuka.
Menurut Google, alat baharu akan bermula dengan mencari kebergantungan transitif ini dengan menganalisis manifes, bil bahan perisian (SBOM) jika tersedia, dan melakukan cincangan. Ia kemudiannya akan menyambung ke pangkalan data kerentanan sumber terbuka (OSV) untuk memaparkan kelemahan yang berkaitan.
Pengimbas OSV boleh auto scan secara rekursif pepohon direktori, mengenal pasti projek dan aplikasi dengan kehadiran direktori git (maklumat tentang kelemahan yang ditentukan melalui analisis cincang komit), fail SBOM (Bil Perisian Bahan dalam format SPDX dan CycloneDX), manifes atau menyekat pentadbir daripada pakej arkib seperti Yarn , NPM, PERMATA, PIP dan Kargo. Ia juga menyokong pengimbasan padding imej kontena docker yang dibina berdasarkan pakej dari repositori Debian.
OSV-Scanner ialah langkah seterusnya dalam usaha ini, kerana ia menyediakan antara muka yang disokong secara rasmi kepada pangkalan data OSV yang menghubungkan senarai kebergantungan projek dengan kelemahan yang mempengaruhinya.
La maklumat tentang kelemahan diambil daripada pangkalan data OSV (Kelemahan Sumber Terbuka), yang merangkumi maklumat tentang isu keselamatan dalam Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian dan Alpine, serta data kerentanan kernel Linux dan laporan kerentanan projek yang dihoskan pada GitHub.
Pangkalan data OSV mencerminkan status pembetulan masalah, pengesahan dengan penampilan dan pembetulan kelemahan, julat versi yang terjejas oleh kelemahan, pautan ke repositori projek dengan kod dan pemberitahuan masalah. API yang disediakan membolehkan anda mengesan manifestasi kerentanan pada tahap komit dan teg dan menganalisis pendedahan kepada isu daripada produk terbitan dan kebergantungan.
Akhir sekali, perlu dinyatakan bahawa kod projek ditulis dalam Go dan diedarkan di bawah lesen Apache 2.0. Anda boleh menyemak butiran lanjut mengenainya di pautan berikut.
Pembangun boleh memuat turun dan mencuba OSV-Scanner daripada tapak web osv.dev atau gunakan semakan kelemahan OpenSSF Scorecard untuk menjalankan pengimbas secara automatik dalam projek GitHub.