Подводя итог, можно сказать, что проекты разработки с открытым исходным кодом часто имеют множество внешних зависимостей, что избавляет разработчиков от необходимости создавать новые функции. Последний инструмент Google использует свою базу данных сообщества, чтобы помочь таким проектам отслеживать и устранять уязвимости зависимостей.
На этой неделе Google выпустила OSV-Scanner — бесплатный инструмент для разработчиков ПО с открытым исходным кодом, позволяющий сканировать зависимости на предмет уязвимостей. Сканер проверяет их проекты на соответствие Google Open Source Vulnerability (OSV) и OSV.dev.
Разработчики используют OSV-Scanner для поиска транзитивных зависимостей в манифестах, SBOM и хэшах коммитов. Затем он ищет уязвимости в базе данных Google OSV и оповещает разработчиков.
Google запустил базу данных OSV в феврале прошлого года, чтобы помочь разработчикам открытого исходного кода находить и сообщать об уязвимостях в своих зависимостях. Доступная база данных может помочь разработчикам быстро выявлять новые зависимости в проектах с открытым исходным кодом, которых может быть много. OSV-Scanner автоматизирует процессы еще больше.
Исполнительный указ США о кибербезопасности 2021 года требует автоматизации стандартов безопасности разработки программного обеспечения, поэтому Google разработала OSV-Scanner. После взлома SolarWinds и атаки вируса-вымогателя Colonial Pipeline правительство издало указ.
Google предприняла несколько шагов для ограничения уведомлений безопасности OSV-Scanner, чтобы разработчики могли быстро реагировать на них. База данных OSV содержит результаты сканирования из надежных источников и множество данных об уязвимостях от сообщества. Машиночитаемая база данных соответствует спискам пакетов разработчиков.
OSV-Scanner совершенствуется. Google разделит действия CI для упрощения планирования и настройки. Компания также создает базу данных уязвимостей C/C++ с точными метаданными уровня коммита CVE.
OSV-Scanner в будущем будет использовать уязвимости на уровне функций из анализа графа вызовов. Анализ графа вызовов в конечном итоге сможет автоматически генерировать операторы VEX. Google также хочет, чтобы сканер предлагал минимальные изменения версий для проектов с наибольшим влиянием на автоматическое устранение уязвимостей.