Salı günü Google, açık kaynak kullanılabilirliğini duyurdu OSV Tarayıcıçeşitli projelerle ilgili güvenlik açığı bilgilerine kolay erişim sunmayı amaçlayan bir tarayıcı.
Google yazılım mühendisi Rex Pan, The Hacker News ile paylaştığı bir gönderide, Açık Kaynak Güvenlik Açıkları (OSV) veritabanı tarafından desteklenen Go tabanlı araç, “bir projenin bağımlılıklar listesini onları etkileyen güvenlik açıklarıyla” bağlamak için tasarlandı.
Pan, “OSV-Scanner, bir geliştiricinin paket listesi ile güvenlik açığı veritabanlarındaki bilgiler arasındaki boşluğu kapatan güvenilir, yüksek kaliteli güvenlik açığı bilgileri üretir” diye ekledi.
Fikir, bir projenin tüm geçişli bağımlılıklarını belirlemek ve OSV.dev veritabanından alınan verileri kullanarak ilgili güvenlik açıklarını vurgulamaktır.
Google ayrıca, açık kaynak platformunun tüm ana dilleri, Linux dağıtımlarını (Debian ve Alpine) ve ayrıca Android, Linux Kernel ve OSS-Fuzz dahil olmak üzere 16 ekosistemi desteklediğini belirtti.
Bu genişlemenin sonucu olarak OSV.dev, Linux (%27,4), Debian (%23,2), PyPI (%9,5), Alpine (%7,9) ile bir yıl önce 15.000 güvenlik uyarısına kıyasla 38.000’den fazla tavsiye içeren bir havuzdur. %) ve npm (%7,1) ilk beş sırayı alıyor.
Sonraki adımlara gelince, internet devi, “CVE’lere kesin taahhüt düzeyinde meta veriler” eklemeyi içeren “yüksek kaliteli bir veritabanı” oluşturarak C/C++ kusurlarına yönelik desteği birleştirmek için çalıştığını belirtti.
\
OSV-Scanner, Google’ın yazılım tedarik zinciri güvenliğini sağlamlaştırma çabalarının bir parçası olarak Yazılım Eserleri için Tedarik Zinciri Düzeylerini (SLSA veya “salsa”) tamamlamak üzere GUAC’ı (Artifact Composition’ı Anlamak için Graph’ın kısaltması) başlatmasından yaklaşık iki ay sonra geldi.
Geçen hafta Google ayrıca, kuruluşları kurcalamayı önlemek, bütünlüğü iyileştirmek ve potansiyel tehditlere karşı paketleri güvence altına almak için ortak bir SLSA çerçevesi geliştirmeye ve dağıtmaya çağıran yeni bir “Güvenlik Perspektifleri” raporu yayınladı.
Şirket tarafından ortaya konan diğer öneriler arasında, ek açık kaynak güvenlik sorumlulukları üstlenmek ve son yıllarda Log4j güvenlik açığı ve SolarWinds olayı tarafından sunulanlar gibi riskleri ele almak için daha bütünsel bir yaklaşım benimsemek yer alıyor.
Şirket, “Yazılım tedarik zinciri saldırıları, tipik olarak güçlü teknik yetenek ve uzun vadeli kararlılık gerektirir” dedi. “Sofistike aktörlerin bu tür saldırıları gerçekleştirme niyeti ve kabiliyetine sahip olma olasılığı daha yüksektir.”
“Çoğu kuruluş, yazılım tedarik zinciri saldırılarına karşı savunmasızdır çünkü saldırganlar, müşterilerinin ağlarına güvenilir bağlantıları olan üçüncü taraf sağlayıcıları hedeflemek için zaman harcarlar. Daha sonra bu güveni, nihai hedeflerinin ağlarının derinliklerine inmek için kullanırlar.”