گوگل اسکنر آسیب پذیری را برای پروژه های منبع باز معرفی می کند

به طور خلاصه: پروژه‌های توسعه متن‌باز اغلب باید به وابستگی‌های خارجی زیادی تکیه کنند و توسعه‌دهندگان را از کار ساختن قابلیت‌های جدید از ابتدا نجات دهند. ابزار جدید گوگل آخرین بخش از تلاش‌های آن برای کمک به چنین پروژه‌هایی است که آسیب‌پذیری‌هایی را که وابستگی‌ها معرفی می‌کنند را ردیابی و حل کنند و بر پایه پایگاه داده جامعه خود ساخته شود.

گوگل این هفته OSV-Scanner را معرفی کرد، ابزاری رایگان که به توسعه دهندگان این امکان را می دهد که نرم افزارهای متن باز را برای آسیب پذیری های شناخته شده در وابستگی هایی که استفاده می کنند اسکن کنند. اسکنر پروژه های آنها را در طرحواره آسیب پذیری منبع باز Google (OSV) و سرویس OSV.dev بررسی می کند.

وقتی توسعه‌دهندگان OSV-Scanner را روی کار خود اجرا می‌کنند، مانیفست‌ها، SBOM‌های آنها را جستجو می‌کند و هش‌ها را برای یافتن وابستگی‌های گذرا انجام می‌دهد. سپس اطلاعاتی را که پیدا می‌کند به پایگاه داده OSV گوگل پیوند می‌دهد تا آسیب‌پذیری‌ها را پیدا کند و توسعه‌دهندگان را مطلع کند.

گوگل در فوریه گذشته پایگاه داده OSV را راه اندازی کرد تا به توسعه دهندگان منبع باز کمک کند تا به راحتی اطلاعات مربوط به آسیب پذیری های موجود در وابستگی های خود را بیابند و به آنها کمک کنند. از آنجایی که پروژه‌های منبع باز می‌توانند به تعداد زیادی وابستگی متکی باشند، یک پایگاه داده در دسترس می‌تواند به توسعه‌دهندگان کمک کند تا سریعاً تعیین کنند کدام یک بدهی‌های جدید معرفی کرده‌اند. OSV-Scanner لایه جدیدی از اتوماسیون را به فرآیند معرفی می کند.

گوگل اسکنر OSV را برای مطابقت با فرمان اجرایی سال 2021 ایالات متحده برای امنیت سایبری طراحی کرد که به عنوان بخشی از استانداردهای خود برای امنیت توسعه نرم افزار به اتوماسیون نیاز دارد. دولت این دستور را در بحبوحه حملات سایبری پرمخاطب مانند هک SolarWinds و حمله باج افزار به خط لوله استعماری معرفی کرد.

چند اقداماتی که Google انجام داد باید اطمینان حاصل کند که OSV-Scanner تعداد قابل کنترلی از اعلان‌های امنیتی را ارائه می‌دهد که توسعه‌دهندگان می‌توانند در بازه‌های زمانی معقول روی آن‌ها عمل کنند. نتایج اسکنر از منابع معتبری می‌آید که به پایگاه داده OSV تغذیه می‌کنند، اما ماهیت تحت رهبری آن جامعه همچنین یک مخزن غنی از اطلاعات در مورد آسیب‌پذیری‌ها را تضمین می‌کند. پایگاه داده همچنین اطلاعات خود را در قالب قابل خواندن ماشین نگه می دارد که به طور کامل به لیست بسته های توسعه دهندگان نگاشت می شود.

بهبودهای بیشتری برای OSV-Scanner در راه است. گوگل قصد دارد اقدامات مستقل CI را برای تسهیل زمان‌بندی و راه‌اندازی اولیه معرفی کند. این شرکت همچنین در حال ساخت یک پایگاه داده آسیب‌پذیری جدید C/C++ است که شامل فراداده‌های دقیق سطح تعهد به CVE است.

در آینده، تجزیه و تحلیل گراف فراخوانی باید به OSV-Scanner اجازه دهد تا از اطلاعات آسیب‌پذیری سطح عملکرد خاصی استفاده کند. تجزیه و تحلیل گراف فراخوانی همچنین می تواند در نهایت به طور خودکار عبارات VEX را تولید کند. علاوه بر این، گوگل می‌خواهد اسکنر بتواند حداقل برآمدگی‌های نسخه را برای پروژه‌هایی که حداکثر تأثیر را برای حل خودکار آسیب‌پذیری‌ها دارند، پیشنهاد کند.

OSV-Scanner در صفحه GitHub گوگل در دسترس است.