Google introduce lo scanner di vulnerabilità per i progetti open source
Uno strumento supportato dal database della community per rilevare le vulnerabilità delle dipendenze
In breve: i progetti di sviluppo open source spesso devono fare affidamento su molte dipendenze esterne, risparmiando agli sviluppatori il lavoro di creare nuove funzionalità da zero. Il nuovo strumento di Google è l’ultima parte dei suoi sforzi per aiutare tali progetti a tracciare e risolvere le vulnerabilità introdotte dalle dipendenze, basandosi sul database della sua comunità.
Questa settimana Google ha introdotto OSV-Scanner, uno strumento gratuito che consente agli sviluppatori di eseguire la scansione di software open source alla ricerca di vulnerabilità note nelle dipendenze che utilizzano. Lo scanner controlla i loro progetti rispetto allo schema OSV (Open Source Vulnerability) di Google e al servizio OSV.dev.
Quando gli sviluppatori eseguono OSV-Scanner sul loro lavoro, cerca i loro manifest, SBOM e commit hash per trovare dipendenze transitive. Quindi collega le informazioni che trova al database OSV di Google per trovare le vulnerabilità e informare gli sviluppatori.
Google ha progettato OSV-Scanner per conformarsi all’ordine esecutivo per la sicurezza informatica degli Stati Uniti del 2021, che richiede l’automazione come parte dei suoi standard per la sicurezza dello sviluppo software. Il governo ha introdotto l’ordine in mezzo a un’ondata di attacchi informatici di alto profilo come l’hacking di SolarWinds e l’attacco ransomware al Colonial Pipeline.
Alcune misure adottate da Google dovrebbero garantire che OSV-Scanner fornisca un numero gestibile di notifiche di sicurezza su cui gli sviluppatori possono agire entro tempi ragionevoli. I risultati dello scanner provengono da fonti autorevoli che alimentano il database OSV, ma la sua natura guidata dalla comunità garantisce anche un ricco archivio di informazioni sulle vulnerabilità. Il database mantiene anche le sue informazioni in un formato leggibile dalla macchina che si associa perfettamente agli elenchi dei pacchetti degli sviluppatori.
Ulteriori miglioramenti per OSV-Scanner sono in arrivo. Google prevede di introdurre azioni CI autonome per facilitare la pianificazione e la configurazione iniziale. La società sta inoltre costruendo un nuovo database delle vulnerabilità C/C++ che include precisi metadati a livello di commit nei CVE.
In futuro, l’analisi del grafico delle chiamate dovrebbe consentire allo scanner OSV di utilizzare specifiche informazioni sulla vulnerabilità a livello di funzione. L’analisi del grafico delle chiamate potrebbe anche generare automaticamente dichiarazioni VEX. Inoltre, Google vuole che lo scanner sia in grado di proporre bump di versione minimi per i progetti in cui avrebbero il massimo impatto per risolvere automaticamente le vulnerabilità.
Lo scanner OSV è disponibile sulla pagina GitHub di Google.
Articolo tradotto da TechSpot