(A kép forrása: The Hacker News)
A Google kedden egy kifejezetten fejlesztőknek szánt hasznos nyílt forráskódú és teljesen ingyenes eszközt jelentett be. Az OSV-Scanner egyfajta sérülékenységvizsgáló eszköz, amivel könnyen felderíthetővé válnak a különböző projektek dependenciáiból eredő sebezhetőségi információi.
A Go alapú és az Open Source Vulnerabilities (OSV) adatbázisára épülő eszköz nem tesz mást, mint összekapcsolja „egy projekt függőségi listáját az azt érintő sebezhetőségekkel” ─ írta Rex Pan, a Google szoftvermérnöke a The Hacker News-zal megosztott bejegyzésében.
A szoftverprojektek általában függőségekre épülnek, azaz olyan külső szoftverkönyvtárakra, amelyeket beépítenek a projektbe, hogy funkciókat adjon hozzá anélkül, hogy a nulláról kellene lefejleszteni őket. Minden függőség tartalmazhat meglévő ismert biztonsági rést vagy új biztonsági réseket, amelyek azonban felderíthetőek. Ugyanakkor a valóságban egy-egy projekt esetében egyszerűen túl sok függőség és verzió létezik ahhoz, hogy ezeket manuálisan nyomon lehessen követni, ezért valamilyen automatizálásra van szükség.
Az OSV-Scanner az OSV.dev adatbázisból származó adatok segítségével azonosítja egy projekt összes tranzitív függőségét, és kiemeli a releváns sebezhetőségeket. A Google közlése szerint a nyílt forráskódú platform jelenleg 16 ökoszisztémát támogat, beleértve az összes főbb programozási nyelvet, Linux-disztribúciót (Debian és Alpine), valamint az Androidot, a Linux Kernelt és az OSS-Fuzzt is.
Ami a következő lépéseket illeti, az internetes óriás megjegyezte, hogy a C/C++ hibák támogatásának beépítésén dolgozik egy „kiváló minőségű adatbázis” létrehozásával, amely magában foglalja a „pontos commit-szintű metaadatok hozzáadását a CVE-khez”.
Az OSV-Scanner közel két hónappal azután érkezik, hogy a Google elindította a GUAC-ot ─ a Graph for Understanding Artifact Composition ─ hogy kiegészítse a Supply chain Levels for Software Artifacts (SLSA vagy „salsa”) rendszert a szoftverellátási lánc biztonságának megerősítésére irányuló erőfeszítései részeként.
A vállalat által megfogalmazott további ajánlások között szerepel a nyílt forráskódú biztonsággal kapcsolatos további felelősségvállalás, valamint holisztikusabb megközelítés alkalmazása az olyan kockázatok kezelésére, mint amilyeneket a Log4j sebezhetőség és a SolarWinds incidensek jelentettek az elmúlt években.