Google, açık kaynaklı güvenlik ekosistemine çok önemli bir ek olan OSV tarama aracını tanıttı. Bunun yanı sıra Google, birden fazla yazılım ekosisteminde güvenlik açığı yönetimini kolaylaştırmak için tasarlanmış bir kütüphane olan OSV-Scalibr’i de yayınladı.
Bu çözümler, OSV.dev ile birlikte, güvenlik açığı meta verilerini yönetmek için entegre bir platform oluşturur ve geliştiricilere ve güvenlik ekiplerine bilinen güvenlik açıklarını tanımlamak ve düzeltmek için kesintisiz bir yol sunar.
Önceki sürümlerinin başarısına dayanan Google, orijinal güvenlik açığı tarayıcısı ve iyileştirme çözümünün gelişmiş bir sürümü olan OSV-Scanner v2.0.0’ın lansmanını duyurmaktan heyecan duyuyor. Yeni sürüm, OSV-tarayıcının açık kaynaklı projelerde güvenlik açıklarını yönetmeye çalışan geliştiriciler için önemli bir kaynak olarak rolünü güçlendirerek birden fazla özellik ve iyileştirme ekliyor.
OSV-Scanner Tool V2’de Yeni Özellikler
OSV-Scalibr ile Geliştirilmiş Bağımlılık Ekstraksiyonu
OSV-scanner V2’deki önemli bir güncelleme, OSV-Scalibr özelliklerinin entegrasyonudur, OSV-Panner’ı OSV-Scalibr’in yetenekleriyle tarama kodu ve kapları tarama için resmi komut satırı aracı haline getirir. Bu sürüm, OSV-tarayıcının tespit edebileceği ve çıkarabileceği bağımlılık türlerini genişleterek çeşitli proje yapılarını ve konteyner görüntülerini analiz etme yeteneğini geliştirir.
Bu güncelleme ile OSV-tarama artık aşağıdakiler dahil olmak üzere daha geniş bir kaynak manifestini ve kilit dosyalarını destekliyor.
- .AÇIK: Depps.json
- Python: UV.lock
- Javascript: Bun.lock
- Haskell: Cabal.project.freeze– stack.yaml.lock
Buna ek olarak, OSV-tarama şimdi aşağıdakileri içeren çok çeşitli eserleri tespit ediyor:
- Düğüm Modülleri
- Python tekerlekleri
- Java Uber kavanozları
- İkili git
Bu genişletilmiş bağımlılık tespiti, farklı programlama dilleri ve ortamlarında faydayı geliştirir.
Katman ve temel görüntü desteği ile kapsamlı konteyner taraması
OSV-Scanner V2’deki bir başka yükseltme, konteyner taraması için genişletilmiş desteğidir. Daha önce, OSV-scanner öncelikle kaynak depolarını ve paket tezahürlerini taramaya odaklanmıştı. En son sürüm, Debian, Ubuntu ve Alpine konteyner görüntüleri için katman farkında tarama sunar. Bu geliştirme, OSV-tarayıcının aşağıdaki yönlere değerli bilgiler sağlamasını sağlar:
- Katman Giriş: Konteyner görüntüsündeki hangi katmanların belirli paketleri tanıttığını tanımlar.
- Katman geçmişi: Katmanların geçmişini ve kendi komutlarını izler.
- Temel görüntüler: BAS analizlerie Deps.Dev tarafından sağlanan yeni bir deneysel API’dan yararlanarak bağımlılıkları ortaya çıkarmak için görüntüler.
- İşletim sistemi/dağıtım: Kapta kullanılan altta yatan işletim sistemi veya dağılımı belirler.
Bu katman analizi özelliği, kapsayıcı ortamlardaki güvenlik açıklarını tanımlarken başka bir hassasiyet katmanı ekleyerek OSV-tarayıcıyı konteyner görüntüleriyle çalışan geliştiriciler için daha da güçlü bir çözüm haline getirir.
Gelişmiş kullanılabilirlik için etkileşimli HTML çıkışı
Güvenlik açığı taramasındaki en büyük zorluklardan biri, bulguları hem eyleme geçirilebilir hem de anlaşılabilir bir şekilde sunmaktır. OSV-Scanner V2, yeni bir etkileşimli HTML çıkış biçimi sunarak bu sorunu ele alıyor. Bu yerel çıktı, sadece önceki terminal çıkışlarından daha kullanıcı dostu ve bilgilendiricidir:
- Tespit edilen güvenlik açıklarının şiddet bozulması
- Analizi kolaylaştırmak için paket ve kimlik filtrelemesi
- Güvenlik Açığı Önemi Filtreleme En kritik konulara odaklanmak için
- Derinlemesine analiz için ayrıntılı güvenlik açığı danışma girişleri
- Konteyner taramaları için katman ve temel görüntü bilgileri
Bu yeni format, güvenlik ekiplerinin güvenlik açıklarının kapsamını ve etkisini anlamasını ve bunları hızlı ve etkili bir eylemde bulunmalarını sağlar.
Maven pom.xml dosyaları için rehberli iyileştirme
Vb-tarayıcının rehberli kayışıEdiation yetenekleri daha önce NPM paketleri için mevcuttu ve geliştiricilerin güncellemelere öncelik vermesine ve kesintileri en aza indirmesine yardımcı oldu. Şimdi, OSV-Scanner bu özelliği Maven Pom.xml dosyalarına genişleterek hem doğrudan hem de geçişli bağımlılıklarda güvenlik açıkları için benzer hedefli öneriler sunuyor. Maven desteği için yeni özellikler şunları içerir:
- İyileştirme stratejisini geçersiz kılmak: Daha esnek iyileştirme seçeneklerine izin verir.
- pom.xml dosya entegrasyonu: Yerel Maven dosyalarını okumayı, yazmayı ve güncellemeyi destekler.
- Özel Kayıt Desteği: Kullanıcıların maven meta verilerini özel bir kayıt defterinden getirmelerine olanak tanır.
- Deneysel alt komut: Tüm bağımlılıkların en son sürüme güncellenmesini sağlar.
Kılavuzlu iyileştirme çözümünün bu genişlemesi, Java ve Maven kullanan geliştiricilerin artık diğer ekosistemler için mevcut aynı verimli güvenlik açığı yönetimi seçeneklerine erişebilmelerini sağlar.
Çözüm
Google’ın OSV-Scanner V2 için yol haritası, daha iyi OSV-Scalibr entegrasyonu, genişletilmiş ekosistem desteği ve gelişmiş konteyner dosya sistemi hesap verebilirliği gibi güncellemeler içerir. Erişilebilirlik analizi ve VEX desteği gibi gelecekteki özellikler güvenlik açığı yönetimini daha da geliştirecektir. Açık kaynaklı manzara geliştikçe, OSV-Scanner V2, geliştiricilerin güvenlik açıklarını yönetmesi için güçlü ve kullanıcı dostu bir çözüm sunar ve Google, sürekli geri bildirimleri ve platformu geliştirmeye katkıları teşvik eder.