На этой неделе Google выпустила OSV-Scanner — сканер уязвимостей с открытым исходным кодом, привязанный к базе данных OSV.dev, дебютировавшей в прошлом году.
написан на языке программирования Go, OSV-сканер Он предназначен для сканирования приложений с открытым исходным кодом для оценки безопасности любых встроенных зависимостей — библиотек программного обеспечения, которые добавляются в проекты для обеспечения предварительно созданных функций, чтобы разработчикам не приходилось заново создавать эти функции самостоятельно.
Современные приложения могут иметь множество зависимостей. Например, исследователи из Университета Мозилла и Университета Конкордия в Канаде недавно Создание одностраничного веб-приложения С фреймворком React с помощью команды create-reaction-app. В результате получился проект с семью зависимостями времени выполнения и девятью зависимостями разработки.
Но у каждой из этих прямых зависимостей есть другие зависимости, известные как транзитивные зависимости. пакет реагировать включает завидный свободный переходная зависимость — те же Это зависит от других библиотек. Наконец, базовое одностраничное приложение «Hello world» требовало всего 1764 зависимости [PDF].
Как отметил Рекс Пэн, инженер-программист из группы безопасности Google с открытым исходным кодом, во вторник в Сообщение блогаРазработчики не могут проверять тысячи зависимостей самостоятельно.
«Каждая зависимость потенциально может содержать известные уязвимости безопасности или новые, которые могут быть обнаружены в любое время», — написал он. «Просто слишком много зависимостей и версий, чтобы отслеживать их вручную, поэтому требуется автоматизация».
Автоматизированная проверка безопасности также рекомендуется в качестве передовой практики в Исполнительном указе США от 12 мая 2021 года».Повышение кибербезопасности страны. «
Запуск OSV-Scanner в приложении приводит к получению списка прямых и множественных зависимостей с известными уязвимостями, которые разработчик приложения затем может устранить, определив безопасные версии пакетов, если они доступны и совместимы.
Это похоже на инструменты, ориентированные на JavaScript, такие как npm-аудит или же Затыкать, но охватывает более широкий спектр упаковочных систем. К ним относятся: Android, crates.io, Debian GNU/Linux, GitHub Actions, Go, Hex, ядро Linux, Maven, npm, NuGet, OSS-Fuzz, Packagist, Pub, PyPI и RubyGems.
Такие поставщики, как Checkmarx, также предлагают услуги и продукты для обнаружения зависимостей.
OSV-Scanner извлекает данные об уязвимостях из базы данных OSV.dev, представлен в прошлом году Сделать информацию об уязвимостях более полной и доступной. Он дополняет другие инициативы по обеспечению безопасности с открытым исходным кодом от The Chocolate Factory, такие как компания Координация уязвимостей с открытым исходным кодом И для него Структура SLSA Для защиты от атак на цепочку поставок.
По словам Пана, база данных OSV.dev в настоящее время является крупнейшей в своем роде базой данных уязвимостей с открытым исходным кодом, насчитывающей 38 000 предупреждений, что более чем вдвое превышает количество списков год назад.
Глядя в будущее, Пан говорит, что Google хочет превратить OSV-Scanner из простого сканера в инструмент управления уязвимостями. Это, вероятно, будет включать в себя разработку процедур непрерывной интеграции, которые упрощают настройку и планирование сканирования, поддержку C/C++ (проблема из-за отсутствия стандартного менеджера пакетов), информацию об уязвимостях на функциональном уровне с помощью анализа графа вызовов и автоматическое устранение уязвимостей (аналогично к исправлению версии npm). ®
«Чрезвычайный решатель проблем. Ниндзя для путешествий. Типичный веб-наркоман. Проводник. Писатель. Читатель. Неизлечимый организатор».
More Stories
Стартап Synthesia, поддерживаемый Nvidia, представляет аватары с искусственным интеллектом, которые могут передавать человеческие эмоции
Игрокам Overwatch 2 грозит бан за выход из игр, из которых они никогда не выходили
Простой поворот улучшает выработку экологически чистого топлива в двигателе.