OSV-Scanner працює як інтерфейс бази даних OSV.dev
Google нещодавно випустив OSV-Scanner, інструмент, який надає розробникам відкритого коду легкий доступ щоб перевірити наявність невиправлених уразливостей у коді та програмах, враховуючи весь ланцюжок залежностей, пов’язаних із кодом.
OSV-Scanner дозволяє виявляти ситуації, в яких програма стає вразливою через проблеми в одній із бібліотек, що використовуються як залежність. У цьому випадку вразливу бібліотеку можна використовувати опосередковано, тобто викликати через іншу залежність.
Минулого року ми зробили спробу покращити класифікацію вразливостей для розробників і споживачів програмного забезпечення з відкритим кодом. Це включало публікацію схеми вразливостей з відкритим кодом (OSV) і запуск служби OSV.dev, першої розподіленої бази даних уразливостей з відкритим кодом. OSV дозволяє всім різним екосистемам з відкритим кодом і базам даних уразливостей публікувати та використовувати інформацію в простому, точному та машиночитаному форматі.
Проекти програмного забезпечення часто будуються на вершині гори залежностей: замість того, щоб починати з нуля, розробники включають зовнішні програмні бібліотеки в проектах і додати додаткові функції. Однак пакети з відкритим кодомo часто містять недокументовані фрагменти коду які взяті з інших бібліотек. Ця практика створює що відомий як «транзитивні залежності» у програмному забезпеченні та означає, що воно може містити кілька рівнів уразливості, які важко відстежити вручну.
За останній рік транзитивні залежності стали зростаючим джерелом ризику безпеки з відкритим кодом. У нещодавньому звіті Endor Labs було виявлено, що 95% уразливостей з відкритим кодом знаходяться в транзитивних або непрямих залежностях, а окремий звіт від Sonatype також підкреслив, що транзитивні залежності спричиняють шість із семи вразливостей, які впливають на відкритий код.
За даними Google, новий інструмент розпочне пошук цих транзитивних залежностей аналізуючи маніфести, специфікації програмного забезпечення (SBOM), якщо вони доступні, і хеші фіксації. Потім він підключиться до бази даних уразливостей з відкритим кодом (OSV), щоб відобразити відповідні вразливості.
Сканер OSV може автоматично сканувати рекурсивно дерево каталогів, що ідентифікує проекти та програми за наявністю каталогів git (інформація про вразливості, визначену за допомогою хеш-аналізу комітів), файлів SBOM (програмне забезпечення у форматах SPDX і CycloneDX), маніфестів або блокування адміністраторів архівних пакетів, таких як Yarn , NPM, GEM, PIP і Cargo. Він також підтримує сканування заповнення зображень контейнерів докерів, створених на основі пакунків зі сховищ Debian.
OSV-Scanner є наступним кроком у цій спробі, оскільки він надає офіційно підтримуваний інтерфейс до бази даних OSV, який пов’язує список залежностей проекту з уразливими місцями, які на них впливають.
La інформація про вразливості береться з бази OSV (Open Source Vulnerabilities), який охоплює інформацію про проблеми безпеки в Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian та Alpine, а також дані про вразливості ядра Linux і звіти про вразливості проекту, розміщені на GitHub.
База даних OSV відображає статус виправлення проблеми, підтвердження з появою та виправленням уразливості, діапазоном версій, уражених уразливістю, посиланнями на репозиторій проекту з кодом і повідомленням про проблему. Наданий API дозволяє відстежувати прояв уразливості на рівні комітів і тегів і аналізувати вразливість проблеми через похідні продукти та залежності.
Насамкінець варто зазначити, що код проекту написаний на Go та поширюється під ліцензією Apache 2.0. Детальніше про це можна дізнатися за наступним посиланням.
Розробники можуть завантажити та спробувати OSV-Scanner з веб-сайту osv.dev або використовувати перевірка вразливості OpenSSF Scorecard для автоматичного запуску сканера в проекті GitHub.