W tym tygodniu Google udostępnił OSV-Scanner – skaner luk w zabezpieczeniach open source powiązany z bazą danych OSV.dev, która zadebiutowała w zeszłym roku.
napisany w języku programowania Go, Skaner OSV Jest przeznaczony do skanowania aplikacji open source w celu oceny bezpieczeństwa wszelkich wbudowanych zależności — bibliotek oprogramowania, które są dodawane do projektów w celu zapewnienia gotowych funkcji, dzięki czemu programiści nie muszą samodzielnie odtwarzać tych funkcji.
Nowoczesne aplikacje mogą mieć wiele zależności. Na przykład ostatnio naukowcy z Mozilla University i Concordia University w Kanadzie Utwórz jednostronicową aplikację internetową Z frameworkiem React za pomocą komendy create-reaction-app. Rezultatem był projekt z siedmioma zależnościami wykonawczymi i dziewięcioma zależnościami programistycznymi.
Ale każda z tych bezpośrednich zależności ma inne zależności, które są znane jako zależności przechodnie. The paczka reaguje obejmuje Luźna zazdrość zależność przechodnia – te same To zależy od innych bibliotek. Wreszcie, podstawowa, jednostronicowa aplikacja „Hello world” wymagała sumy 1764 zależności [PDF].
Jak zauważył Rex Pan, inżynier oprogramowania w zespole bezpieczeństwa open source Google, we wtorek o godz post na bloguSprawdzanie tysięcy zależności nie jest czymś, co programiści mogą zrobić samodzielnie.
„Każda zależność może potencjalnie zawierać znane luki w zabezpieczeniach lub nowe, które można wykryć w dowolnym momencie” – napisał. „Istnieje po prostu zbyt wiele zależności i wersji do ręcznego śledzenia, dlatego wymagana jest automatyzacja”.
Automatyczna kontrola bezpieczeństwa jest również zalecana jako najlepsza praktyka w rozporządzeniu wykonawczym Stanów Zjednoczonych z dnia 12 maja 2021 r.”Poprawa bezpieczeństwa cybernetycznego kraju. „
Uruchomienie OSV-Scanner w aplikacji skutkuje wyświetleniem listy bezpośrednich i wielokrotnych zależności ze znanymi lukami, którymi twórca aplikacji może następnie zająć się, identyfikując bezpieczne wersje pakietów, jeśli są dostępne i kompatybilne.
Jest podobny do narzędzi zorientowanych na JavaScript, takich jak audyt np lub Wtyczka, ale obejmuje szerszy zakres systemów pakowania. Należą do nich: Android, crates.io, Debian GNU/Linux, GitHub Actions, Go, Hex, Linux kernel, Maven, npm, NuGet, OSS-Fuzz, Packagist, Pub, PyPI i RubyGems.
Dostawcy tacy jak Checkmarx oferują również usługi i produkty do wykrywania zależności.
OSV-Scanner pobiera dane o lukach w zabezpieczeniach z bazy danych OSV.dev, wprowadzony w zeszłym roku Aby informacje o lukach w zabezpieczeniach były bardziej wyczerpujące i dostępne. Uzupełnia inne inicjatywy bezpieczeństwa open source z The Chocolate Factory, takie jak firma Koordynacja luk w zabezpieczeniach open source I dla niego ramy SLSA Aby bronić się przed atakami łańcucha dostaw.
Według Pan, baza danych OSV.dev jest obecnie największą tego rodzaju bazą danych o lukach w zabezpieczeniach typu open source, zawierającą 38 000 ostrzeżeń — ponad dwukrotnie więcej niż rok temu.
Patrząc w przyszłość, Pan mówi, że Google chce uaktualnić OSV-Scanner z prostego skanera do narzędzia do zarządzania lukami w zabezpieczeniach. Może to obejmować opracowanie procedur ciągłej integracji, które ułatwiają planowanie konfiguracji i skanowania, obsługę C/C++ (wyzwanie ze względu na brak standardowego menedżera pakietów), informacje o lukach w zabezpieczeniach na poziomie funkcji za pomocą analizy wykresów wywołań oraz automatyczne łagodzenie luk w zabezpieczeniach (podobne do poprawki wersji npm). ®
„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.
