Gumagana ang OSV-Scanner bilang front end sa database ng OSV.dev
Inilabas kamakailan ng Google ang OSV-Scanner, isang tool na nagbibigay ng madaling pag-access sa mga developer ng open source upang suriin ang mga hindi na-patch na kahinaan sa code at mga application, na isinasaalang-alang ang buong hanay ng mga dependency na nauugnay sa code.
Binibigyang-daan ng OSV-Scanner na makita ang mga sitwasyon kung saan nagiging vulnerable ang isang application dahil sa mga problema sa isa sa mga library na ginamit bilang dependency. Sa kasong ito, ang vulnerable na library ay maaaring gamitin nang hindi direkta, ibig sabihin, tinatawag sa pamamagitan ng isa pang dependency.
Noong nakaraang taon, nagsagawa kami ng pagsisikap na pahusayin ang pag-uuri ng kahinaan para sa mga developer at consumer ng open source software. Kabilang dito ang paglalathala ng open source vulnerability schema (OSV) at ang paglulunsad ng serbisyo ng OSV.dev, ang unang ipinamahagi na database ng kahinaan sa open source. Binibigyang-daan ng OSV ang lahat ng iba't ibang open source ecosystem at mga database ng kahinaan na mag-publish at gumamit ng impormasyon sa isang simple, tumpak, at nababasa ng machine na format.
Ang mga proyekto ng software ay madalas na itinayo sa tuktok ng isang bundok ng mga dependency: sa halip na magsimula sa simula, ang isinasama ng mga developer ang mga panlabas na library ng software sa mga proyekto at magdagdag ng karagdagang pag-andar. Gayunpaman, ang mga open source na paketeo kadalasang naglalaman ng mga hindi dokumentadong snippet ng code na kinukuha mula sa ibang mga aklatan. Ang pagsasanay na ito ay lumilikha ng kung ano ay kilala bilang "transitive dependencies" sa software at nangangahulugan na maaari itong maglaman ng maraming layer ng kahinaan na mahirap masubaybayan nang manu-mano.
Ang mga transitive dependencies ay naging isang lumalagong pinagmumulan ng open source na panganib sa seguridad sa nakaraang taon. Nalaman ng isang kamakailang ulat mula sa Endor Labs na ang 95% ng mga kahinaan sa open source ay nasa transitive o indirect dependencies, at ang isang hiwalay na ulat mula sa Sonatype ay nag-highlight din na ang mga transitive dependencies ay tumutukoy sa anim sa pitong mga kahinaan na nakakaapekto sa open source.
Ayon sa Google, magsisimula ang bagong tool sa pamamagitan ng paghahanap sa mga transitive dependencies na ito sa pamamagitan ng pagsusuri sa mga manifest, software bill of materials (SBOMs) kung saan available, at gumawa ng mga hash. Pagkatapos ay kumonekta ito sa open source vulnerability database (OSV) upang ipakita ang mga nauugnay na kahinaan.
OSV Scanner maaaring mag-auto scan nang paulit-ulit isang puno ng direktoryo, pagtukoy ng mga proyekto at aplikasyon sa pamamagitan ng pagkakaroon ng mga git na direktoryo (impormasyon tungkol sa mga kahinaan na tinutukoy sa pamamagitan ng commit hash analysis), SBOM (Software Bill Of Material sa SPDX at CycloneDX na mga format) na mga file, manifest, o harangan ang mga administrator mula sa mga archive package gaya ng Yarn , NPM, GEM, PIP, at Cargo. Sinusuportahan din nito ang pag-scan sa padding ng mga imahe ng docker container na binuo batay sa mga pakete mula sa mga repositoryo ng Debian.
Ang OSV-Scanner ay ang susunod na hakbang sa pagsisikap na ito, dahil nagbibigay ito ng opisyal na suportadong interface sa database ng OSV na nag-uugnay sa listahan ng mga dependency ng proyekto sa mga kahinaan na nakakaapekto sa kanila.
La ang impormasyon tungkol sa mga kahinaan ay kinuha mula sa database ng OSV (Open Source Vulnerabilities), na sumasaklaw sa impormasyon tungkol sa mga isyu sa seguridad sa Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian at Alpine, pati na rin ang data ng kahinaan ng Linux kernel at mga ulat sa kahinaan ng proyekto na naka-host sa GitHub.
Ang database ng OSV sumasalamin sa katayuan ng pagwawasto ng problema, mga pagkumpirma na may hitsura at pagwawasto ng kahinaan, ang hanay ng mga bersyon na apektado ng kahinaan, mga link sa repositoryo ng proyekto kasama ang code at ang abiso ng problema. Binibigyang-daan ka ng ibinigay na API na masubaybayan ang pagpapakita ng isang kahinaan sa antas ng commit at tag at suriin ang pagkakalantad sa isyu mula sa mga derivative na produkto at dependency.
Sa wakas, nararapat na banggitin na ang code ng proyekto ay nakasulat sa Go at ipinamamahagi sa ilalim ng lisensya ng Apache 2.0. Maaari mong suriin ang higit pang mga detalye tungkol dito sa sumusunod na link.
Maaaring i-download at subukan ng mga developer ang OSV-Scanner mula sa website o paggamit ng osv.dev ang pagsusuri sa kahinaan ng OpenSSF Scorecard upang awtomatikong patakbuhin ang scanner sa isang proyekto ng GitHub.