OSV-Scanner OSV.dev தரவுத்தளத்தின் முன் முனையாக செயல்படுகிறது
கூகுள் சமீபத்தில் OSV-Scanner ஐ வெளியிட்டது. திறந்த மூல டெவலப்பர்களுக்கு எளிதான அணுகலை வழங்கும் ஒரு கருவி குறியீடு மற்றும் பயன்பாடுகளில் இணைக்கப்படாத பாதிப்புகளை சரிபார்க்க, குறியீட்டுடன் தொடர்புடைய சார்புகளின் முழு சங்கிலியையும் கணக்கில் எடுத்துக்கொள்வது.
OSV-Scanner ஆனது சார்புநிலையாகப் பயன்படுத்தப்படும் நூலகங்களில் உள்ள சிக்கல்களால் பயன்பாடு பாதிக்கப்படக்கூடிய சூழ்நிலைகளைக் கண்டறிய அனுமதிக்கிறது. இந்த வழக்கில், பாதிக்கப்படக்கூடிய நூலகத்தை மறைமுகமாகப் பயன்படுத்தலாம், அதாவது மற்றொரு சார்பு வழியாக அழைக்கப்படுகிறது.
கடந்த ஆண்டு, திறந்த மூல மென்பொருளின் டெவலப்பர்கள் மற்றும் நுகர்வோருக்கு பாதிப்பு வகைப்படுத்தலை மேம்படுத்தும் முயற்சியை மேற்கொண்டோம். இது ஓப்பன் சோர்ஸ் வால்னரபிலிட்டி ஸ்கீமா (OSV) வெளியீடு மற்றும் OSV.dev சேவையின் துவக்கம் ஆகியவற்றை உள்ளடக்கியது, இது முதல் விநியோகிக்கப்பட்ட திறந்த மூல பாதிப்பு தரவுத்தளமாகும். எளிமையான, துல்லியமான மற்றும் இயந்திரம் படிக்கக்கூடிய வடிவத்தில் தகவல்களை வெளியிடுவதற்கும் நுகர்வதற்கும் OSV பல்வேறு திறந்த மூல சுற்றுச்சூழல் அமைப்புகள் மற்றும் பாதிப்பு தரவுத்தளங்களை செயல்படுத்துகிறது.
மென்பொருள் திட்டங்கள் பெரும்பாலும் சார்புகளின் மேல் கட்டமைக்கப்படுகின்றன: புதிதாகத் தொடங்குவதற்குப் பதிலாக, டெவலப்பர்கள் வெளிப்புற மென்பொருள் நூலகங்களை இணைக்கின்றனர் திட்டங்களில் மற்றும் கூடுதல் செயல்பாடு சேர்க்க. இருப்பினும், திறந்த மூல தொகுப்புகள்o பெரும்பாலும் ஆவணமற்ற குறியீடு துணுக்குகளைக் கொண்டிருக்கும் மற்ற நூலகங்களிலிருந்து எடுக்கப்பட்டவை. இந்த நடைமுறை என்ன உருவாக்குகிறது "இடைநிலை சார்புகள்" என்று அறியப்படுகிறது மென்பொருளில் மற்றும் கைமுறையாகக் கண்டறிய கடினமாக இருக்கும் பல அடுக்கு பாதிப்புகளைக் கொண்டிருக்கலாம்.
கடந்த ஆண்டில் திறந்த மூல பாதுகாப்பு அபாயத்தின் வளர்ந்து வரும் ஆதாரமாக மாறக்கூடிய சார்புநிலைகள் மாறியுள்ளன. Endor Labs இன் சமீபத்திய அறிக்கையானது, 95% திறந்த மூலப் பாதிப்புகள் இடைநிலை அல்லது மறைமுகச் சார்புகளில் இருப்பதாகக் கண்டறிந்துள்ளது, மேலும் Sonatype இன் தனி அறிக்கையானது, திறந்த மூலத்தைப் பாதிக்கும் ஏழு பாதிப்புகளில் ஆறு பாதிப்புகளுக்குக் காரணம் என்பதை Sonatype இன் தனி அறிக்கை எடுத்துக்காட்டுகிறது.
கூகிள் படி, இந்த இடைநிலை சார்புகளைத் தேடுவதன் மூலம் புதிய கருவி தொடங்கும் மேனிஃபெஸ்டுகள், பொருட்களின் மென்பொருள் பில்கள் (SBOMகள்) கிடைக்கும் இடங்களில் பகுப்பாய்வு செய்தல் மற்றும் ஹாஷ்களை உருவாக்குதல். இது தொடர்புடைய பாதிப்புகளைக் காண்பிக்க திறந்த மூல பாதிப்பு தரவுத்தளத்துடன் (OSV) இணைக்கப்படும்.
OSV ஸ்கேனர் மீண்டும் மீண்டும் தானாக ஸ்கேன் செய்யலாம் ஒரு அடைவு மரம், ஜிட் கோப்பகங்கள் (கமிட் ஹாஷ் பகுப்பாய்வு மூலம் தீர்மானிக்கப்படும் பாதிப்புகள் பற்றிய தகவல்), SBOM (SPDX மற்றும் CycloneDX வடிவங்களில் உள்ள பொருள்களின் மென்பொருள் பில்) கோப்புகள், மேனிஃபெஸ்ட்கள் அல்லது Yarn போன்ற காப்பக தொகுப்புகளில் இருந்து நிர்வாகிகளைத் தடுத்தல். , NPM, GEM, PIP மற்றும் சரக்கு. டெபியன் களஞ்சியங்களின் தொகுப்புகளின் அடிப்படையில் உருவாக்கப்பட்ட டோக்கர் கொள்கலன் படங்களின் பேடிங்கை ஸ்கேன் செய்வதையும் இது ஆதரிக்கிறது.
OSV-ஸ்கேனர் இந்த முயற்சியின் அடுத்த படியாகும், ஏனெனில் இது OSV தரவுத்தளத்திற்கு அதிகாரப்பூர்வமாக ஆதரிக்கப்படும் இடைமுகத்தை வழங்குகிறது, இது ஒரு திட்டத்தின் சார்புகளின் பட்டியலை அவற்றை பாதிக்கும் பாதிப்புகளுடன் இணைக்கிறது.
La பாதிப்புகள் பற்றிய தகவல் OSV தரவுத்தளத்திலிருந்து எடுக்கப்பட்டது (Open Source Vulnerabilities), இது Сrates.io (ரஸ்ட்), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian மற்றும் Alpine, அத்துடன் Linux கர்னல் பாதிப்பு தரவு மற்றும் GitHub இல் ஹோஸ்ட் செய்யப்பட்ட திட்ட பாதிப்பு அறிக்கைகள்.
OSV தரவுத்தளம் சிக்கல் திருத்தும் நிலையை பிரதிபலிக்கிறது, பாதிப்பின் தோற்றம் மற்றும் திருத்தம், பாதிப்பால் பாதிக்கப்பட்ட பதிப்புகளின் வரம்பு, குறியீட்டுடன் திட்ட களஞ்சியத்திற்கான இணைப்புகள் மற்றும் சிக்கலின் அறிவிப்பு ஆகியவற்றை உறுதிப்படுத்துதல். வழங்கப்பட்ட API ஆனது, உறுதி மற்றும் குறிச்சொல் மட்டத்தில் பாதிப்பின் வெளிப்பாட்டைக் கண்டறியவும், டெரிவேட்டிவ் தயாரிப்புகள் மற்றும் சார்புகளிலிருந்து சிக்கலின் வெளிப்பாட்டைப் பகுப்பாய்வு செய்யவும் உங்களை அனுமதிக்கிறது.
இறுதியாக, திட்டக் குறியீடு Go இல் எழுதப்பட்டுள்ளது மற்றும் Apache 2.0 உரிமத்தின் கீழ் விநியோகிக்கப்படுகிறது என்பது குறிப்பிடத்தக்கது. அதைப் பற்றிய கூடுதல் விவரங்களை பின்வரும் இணைப்பில் பார்க்கலாம்.
டெவலப்பர்கள் osv.dev இணையதளத்தில் இருந்து OSV-Scanner ஐ பதிவிறக்கம் செய்து முயற்சிக்கலாம் அல்லது பயன்படுத்தலாம் OpenSSF ஸ்கோர்கார்டு பாதிப்பு சோதனை ஒரு கிட்ஹப் திட்டத்தில் ஸ்கேனரை தானாக இயக்க.