OSV-Scanner funguje ako front-end databázy OSV.dev
Google nedávno vydal OSV-Scanner, nástroj, ktorý umožňuje vývojárom s otvoreným zdrojom jednoduchý prístup na kontrolu neopravených zraniteľností v kóde a aplikáciách, berúc do úvahy celý reťazec závislostí spojených s kódom.
OSV-Scanner umožňuje detekovať situácie, v ktorých sa aplikácia stáva zraniteľnou kvôli problémom v jednej z knižníc používaných ako závislosť. V tomto prípade môže byť zraniteľná knižnica použitá nepriamo, tj volaná cez inú závislosť.
Minulý rok sme sa snažili zlepšiť klasifikáciu zraniteľnosti pre vývojárov a spotrebiteľov softvéru s otvoreným zdrojovým kódom. Išlo o zverejnenie schémy zraniteľnosti s otvoreným zdrojom (OSV) a spustenie služby OSV.dev, prvej distribuovanej databázy zraniteľností s otvoreným zdrojom. OSV umožňuje všetkým rôznym open source ekosystémom a databázam zraniteľnosti publikovať a využívať informácie v jednoduchom, presnom a strojovo čitateľnom formáte.
Softvérové projekty sú často postavené na vrchole hory závislostí: namiesto toho, aby začínali od nuly vývojári začleňujú externé softvérové knižnice v projektoch a pridať ďalšie funkcie. Avšak, open source balíkyo často obsahujú nezdokumentované útržky kódu ktoré sú extrahované z iných knižníc. Táto prax vytvára čo je známy ako „tranzitívne závislosti“ v softvéri a znamená, že môže obsahovať viacero vrstiev zraniteľnosti, ktoré je ťažké manuálne vysledovať.
Prechodné závislosti sa za posledný rok stali rastúcim zdrojom bezpečnostných rizík s otvoreným zdrojom. Nedávna správa od Endor Labs zistila, že 95 % zraniteľností s otvoreným zdrojom je v prechodných alebo nepriamych závislostiach a samostatná správa od Sonatype tiež zdôraznila, že prechodné závislosti predstavujú šesť zo siedmich zraniteľností ovplyvňujúcich open source.
Podľa spoločnosti Google nový nástroj začne hľadaním týchto prechodných závislostí analýzou manifestov, softvérových kusovníkov (SBOM), ak sú k dispozícii, a potvrdením hash. Potom sa pripojí k open source databáze zraniteľností (OSV) a zobrazí relevantné zraniteľnosti.
OSV skener dokáže automaticky rekurzívne skenovať adresárový strom, ktorý identifikuje projekty a aplikácie podľa prítomnosti adresárov git (informácie o zraniteľnostiach určených prostredníctvom analýzy hash odovzdania), súborov SBOM (Software Bill Of Material vo formátoch SPDX a CycloneDX), manifestov alebo blokovania administrátorov z archívnych balíkov, ako je Yarn , NPM, GEM, PIP a Cargo. Podporuje tiež skenovanie výplní obrazov kontajnerov docker vytvorených na základe balíkov z repozitárov Debianu.
OSV-Scanner je ďalším krokom v tomto úsilí, pretože poskytuje oficiálne podporované rozhranie k databáze OSV, ktoré spája zoznam závislostí projektu so zraniteľnosťami, ktoré ich ovplyvňujú.
La informácie o zraniteľnostiach sú prevzaté z databázy OSV (Open Source Vulnerabilities), ktorý pokrýva informácie o bezpečnostných problémoch v Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian a Alpine, ako aj údaje o zraniteľnosti jadra Linuxu a správy o zraniteľnosti projektov hostené na GitHub.
Databáza OSV odráža stav opravy problému, potvrdenia s výskytom a opravou zraniteľnosti, rozsah verzií ovplyvnených zraniteľnosťou, odkazy na úložisko projektu s kódom a upozornením na problém. Poskytnuté rozhranie API vám umožňuje sledovať prejavy zraniteľnosti na úrovni odovzdania a značky a analyzovať vystavenie problému odvodeným produktom a závislostiam.
Nakoniec stojí za zmienku, že kód projektu je napísaný v Go a je distribuovaný pod licenciou Apache 2.0. Viac podrobností o ňom si môžete pozrieť v nasledujúcom odkaze.
Vývojári si môžu stiahnuť a vyskúšať OSV-Scanner z webovej stránky osv.dev alebo použiť kontrola zraniteľnosti OpenSSF Scorecard na automatické spustenie skenera v projekte GitHub.