0
0
Depois de lançar o banco de dados Open Source Vulnerabilities ( OSV.dev ) em fevereiro, o Google lançou o OSV-Scanner , um scanner de vulnerabilidade de linha de comando gratuito que os desenvolvedores de código aberto podem usar para verificar vulnerabilidades nas dependências de seus projetos.
Encontrando vulnerabilidades em dependências de código aberto
“O OSV.dev permite que todos os diferentes ecossistemas de código aberto e bancos de dados de vulnerabilidade publiquem e consumam informações em um formato simples, preciso e legível por máquina”, explicou Rex Pan, engenheiro de software da equipe de segurança de código aberto do Google.
“No total, o OSV.dev agora suporta 16 ecossistemas, incluindo todos os principais ecossistemas de idiomas, distribuições Linux (Debian e Alpine), bem como Android, Linux Kernel e OSS-Fuzz. Isso significa que o banco de dados OSV.dev é agora o maior banco de dados de vulnerabilidades de código aberto desse tipo, com um total de mais de 38.000 avisos de 15.000 avisos de um ano atrás.”
O OSV-Scanner funciona como um front-end para o banco de dados OSV.dev.
Primeiro, ele percorre os arquivos de bloqueio de um projeto (arquivos que armazenam as informações de um gráfico de dependência), SBOMs e diretórios git para o hash de confirmação mais recente, lista as dependências transitivas e versões usadas nos projetos do desenvolvedor e, finalmente, compara essa lista com o OSV banco de dados (através da API OSV.dev).
A saída resultante é mais ou menos assim:
Usando o Scanner OSV
O OSV-Scanner pode ser instalado no Linux, macOS ou Windows. Ele também foi integrado na verificação de vulnerabilidades do OpenSSF Scorecard .
“Para criar a lista de dependências, você pode apontar o OSV-Scanner para o diretório do seu projeto ou passar manualmente o caminho para arquivos de manifesto individuais”, diz o Google. A ferramenta pode ser configurada para ignorar vulnerabilidades específicas.
O Google planeja transformar o OSV-Scanner em uma ferramenta completa de gerenciamento de vulnerabilidades, integrando-se ainda mais aos fluxos de trabalho do desenvolvedor (por meio de ações independentes de CI), adicionando recursos como correção automática de vulnerabilidades, fazendo o mínimo de atualizações de versão e melhorando o suporte a vulnerabilidades C/C++ .
FONTE: HELPNET SECURITY