Google ha lanciato per la prima volta OSV-Scanner per trovare vulnerabilità nelle applicazioni open source • The Register

Questa settimana Google ha rilasciato OSV-Scanner, uno scanner di vulnerabilità open source legato al database OSV.dev che ha debuttato lo scorso anno.

scritto nel linguaggio di programmazione Go, Scanner OSV È progettato per scansionare le applicazioni open source per valutare la sicurezza di eventuali dipendenze integrate: librerie di software che vengono aggiunte ai progetti per fornire funzionalità predefinite in modo che gli sviluppatori non debbano ricreare tali funzionalità da soli.

Le app moderne possono avere molte dipendenze. Ad esempio, recentemente i ricercatori della Mozilla University e della Concordia University in Canada Creare un’applicazione Web di una pagina Con il framework React usando il comando create-reaction-app. Il risultato è stato un progetto con sette dipendenze di runtime e nove dipendenze di sviluppo.

Ma ciascuna di queste dipendenze dirette ha altre dipendenze, note come dipendenze transitive. Il pacchetto reagisce include invidiabile sciolto dipendenza transitiva – quelle stesse Dipende da altre librerie. Infine, l’app di base “Hello world” di una pagina richiedeva un totale 1.764 dipendenze [PDF].

Come notato da Rex Pan, un ingegnere del software del team di sicurezza open source di Google, martedì alle post sul blogIl controllo di migliaia di dipendenze non è qualcosa che gli sviluppatori possono fare da soli.

“Ogni dipendenza ha il potenziale per contenere vulnerabilità di sicurezza note o nuove che potrebbero essere scoperte in qualsiasi momento”, ha scritto. “Ci sono semplicemente troppe dipendenze e versioni di cui tenere traccia manualmente, quindi è necessaria l’automazione.”

Il controllo di sicurezza automatizzato è raccomandato anche come best practice nell’ordine esecutivo degli Stati Uniti del 12 maggio 2021,”Migliorare la sicurezza informatica della nazione. “

L’esecuzione di OSV-Scanner su un’applicazione genera un elenco di dipendenze dirette e multiple con vulnerabilità note, che lo sviluppatore dell’applicazione potrebbe quindi essere in grado di affrontare identificando le versioni sicure dei pacchetti, se disponibili e compatibili.

È simile agli strumenti incentrati su JavaScript come controllo npm o Tappo, ma copre una gamma più ampia di sistemi di imballaggio. Questi includono: Android, crates.io, Debian GNU/Linux, GitHub Actions, Go, Hex, kernel Linux, Maven, npm, NuGet, OSS-Fuzz, Packagist, Pub, PyPI e RubyGems.

Fornitori come Checkmarx offrono anche servizi e prodotti per il rilevamento delle dipendenze.

OSV-Scanner estrae i dati di vulnerabilità dal database OSV.dev, introdotto lo scorso anno Rendere le informazioni sulle vulnerabilità più complete e più accessibili. Completa altre iniziative di sicurezza open source di The Chocolate Factory come l’azienda Coordinamento delle vulnerabilità open source E per lui Struttura SLSA Per difendersi dagli attacchi alla catena di approvvigionamento.

Secondo Pan, il database OSV.dev è ora il più grande database di vulnerabilità open source del suo genere, con un peso di 38.000 avvisi, più del doppio del numero di elenchi di un anno fa.

Guardando al futuro, Pan afferma che Google vuole aggiornare OSV-Scanner da un semplice scanner a uno strumento di gestione delle vulnerabilità. È probabile che ciò includa lo sviluppo di routine di integrazione continua che facilitino la configurazione e la pianificazione della scansione, il supporto C/C++ (una sfida dovuta alla mancanza di un gestore di pacchetti standard), informazioni sulla vulnerabilità a livello di funzione tramite l’analisi del grafico delle chiamate e la mitigazione automatica della vulnerabilità (simile alla correzione della revisione npm). ®