Гоогле је недавно објавио ОСВ-скенер, алат који програмерима отвореног кода омогућава лак приступ да проверите да ли постоје непоправљиве рањивости у коду и апликацијама, узимајући у обзир цео ланац зависности повезаних са кодом.
ОСВ-Сцаннер омогућава откривање ситуација у којима апликација постаје рањива због проблема у једној од библиотека које се користе као зависност. У овом случају, угрожена библиотека може да се користи индиректно, односно позвана преко друге зависности.
Прошле године смо предузели напоре да побољшамо класификацију рањивости за програмере и потрошаче софтвера отвореног кода. Ово је укључивало објављивање шеме рањивости отвореног кода (ОСВ) и покретање услуге ОСВ.дев, прве дистрибуиране базе података рањивости отвореног кода. ОСВ омогућава свим различитим екосистемима отвореног кода и базама података рањивости да објављују и конзумирају информације у једноставном, тачном и машински читљивом формату.
Софтверски пројекти се често граде на врху планине зависности: уместо да почну од нуле, програмери укључују екстерне софтверске библиотеке у пројектима и додати додатну функционалност. Међутим, пакети отвореног кодао често садрже недокументоване исечке кода које су преузете из других библиотека. Ова пракса ствара шта познат је као "транзитивне зависности" у софтверу и значи да може да садржи више слојева рањивости којима је тешко ручно ући у траг.
Транзитивне зависности постале су све већи извор безбедносног ризика отвореног кода током прошле године. Недавни извештај Ендор Лабс-а је открио да је 95% рањивости отвореног кода у транзитивним или индиректним зависностима, а посебан извештај компаније Сонатипе је такође нагласио да транзитивне зависности чине шест од седам рањивости које утичу на отворени извор.
Према Гоогле-у, нови алат ће почети тражењем ових транзитивних зависности анализом манифеста, софтверских листа материјала (СБОМ) где су доступни и урезивања хешова. Затим ће се повезати на базу података рањивости отвореног кода (ОСВ) како би приказао релевантне рањивости.
ОСВ Сцаннер може аутоматски рекурзивно скенирати стабло директоријума, идентификујући пројекте и апликације по присуству гит директоријума (информације о рањивости утврђеним хеш анализом урезивања), СБОМ (Софтверска листа материјала у СПДКС и ЦицлонеДКС форматима) датотека, манифеста или блокира администраторе из пакета архива као што је Иарн , НПМ, ГЕМ, ПИП и Царго. Такође подржава скенирање допуна слика доцкер контејнера направљених на основу пакета из Дебиан спремишта.
ОСВ-Скенер је следећи корак у овом напору, јер обезбеђује званично подржан интерфејс за ОСВ базу података који повезује листу зависности пројекта са рањивостима које на њих утичу.
La информације о рањивости се преузимају из ОСВ базе података (Опен Соурце Вулнерабилитиес), који покрива информације о безбедносним проблемима у Сратес.ио (Руст), Го, Мавен, НПМ (ЈаваСцрипт), НуГет (Ц#), Пацкагист (ПХП), ПиПИ (Питхон), РубиГемс, Андроид, Дебиан и Алпине, као и подаци о рањивости Линук кернела и извештаји о рањивости пројекта који се налазе на ГитХуб-у.
ОСВ база података одражава статус исправљања проблема, потврде са појавом и исправком рањивости, опсег верзија на које рањивост утиче, везе ка репозиторијуму пројекта са кодом и обавештењем о проблему. Достављени АПИ вам омогућава да пратите манифестацију рањивости на нивоу урезивања и ознаке и анализирате изложеност проблему из изведених производа и зависности.
На крају, вреди напоменути да је код пројекта написан у Го-у и дистрибуира се под лиценцом Апацхе 2.0. Више детаља о томе можете погледати на следећем линку.
Програмери могу да преузму и испробају ОСВ-Сцаннер са веб локације осв.дев или да га користе проверу рањивости ОпенССФ Сцорецард да аутоматски покрене скенер у ГитХуб пројекту.