OSV-Scanner funcționează ca un front-end pentru baza de date OSV.dev
Google a lansat recent OSV-Scanner, un instrument care oferă dezvoltatorilor open source acces ușor pentru a verifica vulnerabilitățile nepattchizate în cod și aplicații, luând în considerare întregul lanț de dependențe asociat codului.
OSV-Scanner permite detectarea situațiilor în care o aplicație devine vulnerabilă din cauza problemelor dintr-una dintre bibliotecile utilizate ca dependență. În acest caz, biblioteca vulnerabilă poate fi utilizată indirect, adică apelată printr-o altă dependență.
Anul trecut, am întreprins un efort de a îmbunătăți clasificarea vulnerabilităților pentru dezvoltatorii și consumatorii de software open source. Aceasta a implicat publicarea schemei de vulnerabilitate open source (OSV) și lansarea serviciului OSV.dev, prima bază de date de vulnerabilități open source distribuită. OSV permite tuturor ecosistemelor open source și bazelor de date de vulnerabilități să publice și să consume informații într-un format simplu, precis și care poate fi citit de mașină.
Proiectele software sunt adesea construite pe vârful unui munte de dependențe: în loc să pornească de la zero, dezvoltatorii încorporează biblioteci de software externe în proiecte și adăugați funcționalități suplimentare. Cu toate acestea, pachete open sourceo conțin adesea fragmente de cod nedocumentate care sunt extrase din alte biblioteci. Această practică creează ce este cunoscut sub numele de „dependențe tranzitive” în software și înseamnă că poate conține mai multe straturi de vulnerabilitate care sunt dificil de urmărit manual.
Dependențe tranzitive au devenit o sursă în creștere de risc de securitate open source în ultimul an. Un raport recent de la Endor Labs a constatat că 95% dintre vulnerabilitățile open source sunt în dependențe tranzitive sau indirecte, iar un raport separat de la Sonatype a subliniat, de asemenea, că dependențele tranzitive reprezintă șase din șapte vulnerabilități care afectează open source.
Potrivit Google, noul instrument va începe prin a căuta aceste dependențe tranzitive analizând manifeste, liste de materiale software (SBOM) acolo unde sunt disponibile și comite hashuri. Apoi se va conecta la baza de date a vulnerabilităților open source (OSV) pentru a afișa vulnerabilitățile relevante.
Scanner OSV poate scana automat recursiv un arbore de directoare, identificând proiecte și aplicații prin prezența directoarelor git (informații despre vulnerabilități determinate prin analiza commit hash), fișiere SBOM (Software Bill Of Material în formatele SPDX și CycloneDX), fișiere, manifeste sau blocați administratorii din pachetele de arhivă precum Yarn , NPM, GEM, PIP și Cargo. De asemenea, acceptă scanarea umpluturii imaginilor containerului docker construite pe baza pachetelor din depozitele Debian.
OSV-Scanner este următorul pas în acest efort, deoarece oferă o interfață acceptată oficial pentru baza de date OSV care conectează lista de dependențe a unui proiect cu vulnerabilitățile care le afectează.
La informațiile despre vulnerabilități sunt preluate din baza de date OSV (Open Source Vulnerabilities), care acoperă informații despre problemele de securitate din Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian și Alpine, precum și datele de vulnerabilitate ale kernelului Linux și rapoartele de vulnerabilitate ale proiectelor găzduite pe GitHub.
Baza de date OSV reflectă starea de corectare a problemei, confirmări cu apariția și corectarea vulnerabilității, gama de versiuni afectate de vulnerabilitate, link-uri către depozitul de proiect cu codul și notificarea problemei. API-ul furnizat vă permite să urmăriți manifestarea unei vulnerabilități la nivel de confirmare și etichetă și să analizați expunerea la problemă din produsele derivate și dependențe.
În sfârșit, este de menționat că codul proiectului este scris în Go și este distribuit sub licența Apache 2.0. Puteți verifica mai multe detalii despre el în următorul link.
Dezvoltatorii pot descărca și încerca OSV-Scanner de pe site-ul web osv.dev sau pot utiliza verificarea vulnerabilității OpenSSF Scorecard pentru a rula automat scanerul într-un proiect GitHub.