Açık kaynak bağımlılıklarında güvenlik açıklarını bulma
Google Açık Kaynak Güvenlik Ekibinden bir yazılım mühendisi olan Rex Pan, “OSV.dev, tüm farklı açık kaynak ekosistemlerinin ve güvenlik açığı veritabanlarının bilgileri tek bir basit, kesin ve makine tarafından okunabilir biçimde yayınlamasına ve tüketmesine olanak tanıyor” dedi.
“OSV.dev artık tüm büyük dil ekosistemleri, Linux dağıtımları (Debian ve Alpine) ve ayrıca Android, Linux Kernel ve OSS-Fuzz dahil 16 ekosistemi destekliyor. Bu, OSV.dev veritabanının, bir yıl önce 15.000 tavsiyeden toplam 38.000’in üzerinde tavsiye ile türünün en büyük açık kaynaklı güvenlik açığı veritabanı olduğu anlamına geliyor.”
OSV-Scanner, OSV.dev veritabanı için bir ön uç işlevi görür.
Önce bir projenin kilit dosyalarından (bağımlılık grafiğinin bilgilerini depolayan dosyalar), SBOM’lardan ve en son kesinleştirme karması için git dizinlerinden geçer, ardından geçişli bağımlılıkları ve geliştiricinin projelerinde kullanılan sürümleri listeler ve son olarak bu listeyi OSV ile karşılaştırır. veritabanı (OSV.dev API aracılığıyla).
Ortaya çıkan çıktı şuna benzer:
OSV Tarayıcıyı Kullanma
OSV-Scanner Linux, macOS veya Windows üzerine kurulabilir. Ayrıca OpenSSF Scorecard’ın Güvenlik Açıkları kontrolüne entegre edilmiştir.
Google, “Bağımlılıkların listesini oluşturmak için OSV-Scanner’ı proje dizininize yönlendirebilir veya yolu tek tek bildirim dosyalarına manuel olarak iletebilirsiniz” diyor. Araç, belirli güvenlik açıklarını yok sayacak şekilde yapılandırılabilir.
Google, OSV-Scanner’ı geliştirici iş akışlarıyla daha fazla entegre ederek (bağımsız CI eylemleri aracılığıyla) tam teşekküllü bir güvenlik açığı yönetim aracına dönüştürmeyi, minimum sürüm çarpmaları yaparak güvenlik açıklarının otomatik olarak düzeltilmesi gibi özellikler ekleyerek ve C/C++ güvenlik açığı desteğini iyileştirerek planlıyor. .