OSV-Scanner, OSV.dev veritabanının ön ucu olarak çalışır
Google kısa bir süre önce OSV-Scanner'ı piyasaya sürdü, açık kaynak geliştiricilere kolay erişim sağlayan bir araç kod ve uygulamalardaki yamalanmamış güvenlik açıklarını kontrol etmek için, kodla ilişkili tüm bağımlılık zincirini dikkate alarak.
OSV-Scanner, bağımlılık olarak kullanılan kitaplıklardan birindeki sorunlar nedeniyle bir uygulamanın savunmasız hale geldiği durumların tespit edilmesini sağlar. Bu durumda, savunmasız kitaplık dolaylı olarak kullanılabilir, yani başka bir bağımlılık yoluyla çağrılabilir.
Geçen yıl, açık kaynak yazılım geliştiricileri ve tüketicileri için güvenlik açığı sınıflandırmasını iyileştirmek için bir girişimde bulunduk. Bu, açık kaynak güvenlik açığı şemasının (OSV) yayınlanmasını ve ilk dağıtılmış açık kaynak güvenlik açığı veritabanı olan OSV.dev hizmetinin başlatılmasını içeriyordu. OSV, tüm farklı açık kaynak ekosistemlerinin ve güvenlik açığı veritabanlarının bilgileri basit, doğru ve makine tarafından okunabilir bir biçimde yayınlamasını ve tüketmesini sağlar.
Yazılım projeleri genellikle bir bağımlılık dağının üzerine inşa edilir: sıfırdan başlamak yerine, geliştiriciler harici yazılım kitaplıklarını birleştirir projelerde ve ek işlevsellik ekleyin. Ancak, açık kaynak paketlerio genellikle belgelenmemiş kod parçacıkları içerir diğer kitaplıklardan ayıklanır. Bu uygulama ne yaratır “geçişli bağımlılıklar” olarak bilinir yazılımda ve manuel olarak izlenmesi zor olan birden çok güvenlik açığı katmanı içerebileceği anlamına gelir.
Geçişli bağımlılıklar, geçen yıl boyunca büyüyen bir açık kaynak güvenlik riski kaynağı haline geldi. Endor Labs'ın yakın tarihli bir raporu, açık kaynak güvenlik açıklarının %95'inin geçişli veya dolaylı bağımlılıklarda olduğunu buldu ve Sonatype'tan ayrı bir rapor da geçişli bağımlılıkların, açık kaynağı etkileyen yedi güvenlik açığından altısından sorumlu olduğunu vurguladı.
Google'a göre, yeni araç, bu geçişli bağımlılıkları arayarak başlayacak bildirimleri, varsa yazılım malzeme listelerini (SBOM'ler) analiz ederek ve sağlamaları işleyerek. Ardından, ilgili güvenlik açıklarını görüntülemek için açık kaynaklı güvenlik açığı veritabanına (OSV) bağlanacaktır.
OSV Tarayıcı özyinelemeli olarak otomatik tarama yapabilir git dizinlerinin (karma karma analizi yoluyla belirlenen güvenlik açıkları hakkında bilgi), SBOM (SPDX ve CycloneDX formatlarında Yazılım Malzeme Listesi) dosyalarının, bildirimlerinin veya Yarn gibi arşiv paketlerinden blok yöneticilerinin varlığına göre projeleri ve uygulamaları tanımlayan bir dizin ağacı , NPM, GEM, PIP ve Kargo. Ayrıca, Debian depolarından alınan paketlere dayalı olarak oluşturulan docker konteyner görüntülerinin dolgusunun taranmasını da destekler.
OSV-Scanner, bir projenin bağımlılıklar listesini onları etkileyen güvenlik açıklarıyla birleştiren OSV veritabanına resmi olarak desteklenen bir arabirim sağladığından, bu çabadaki bir sonraki adımdır.
La güvenlik açıkları hakkındaki bilgiler OSV veri tabanından alınır (Açık Kaynak Güvenlik Açıkları), Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian ve Alpine'in yanı sıra GitHub'da barındırılan Linux çekirdeği güvenlik açığı verileri ve proje güvenlik açığı raporları.
OSV veri tabanı problem düzeltme durumunu yansıtır, güvenlik açığının görünümü ve düzeltilmesi ile onaylar, güvenlik açığından etkilenen sürümlerin aralığı, kod ile proje deposuna bağlantılar ve sorunun bildirimi. Sağlanan API, taahhüt ve etiket düzeyinde bir güvenlik açığının tezahürünü izlemenize ve türev ürünler ve bağımlılıklardan kaynaklanan soruna maruz kalma durumunu analiz etmenize olanak tanır.
Son olarak, proje kodunun Go'da yazıldığını ve Apache 2.0 lisansı altında dağıtıldığını belirtmekte fayda var. Bununla ilgili daha fazla ayrıntıyı aşağıdaki bağlantıdan kontrol edebilirsiniz.
Geliştiriciler, OSV-Scanner'ı osv.dev web sitesinden indirip deneyebilir veya kullanabilir OpenSSF Puan Kartı güvenlik açığı kontrolü tarayıcıyı bir GitHub projesinde otomatik olarak çalıştırmak için.