Technischer Support
Dokumentation
Anmeldung
Kontakt
Google hat den OSV-Scanner eingeführt, ein kostenloses Tool für Open-Source-Entwickler, das einen einfachen Zugang zu Informationen über Sicherheitslücken bietet. Es soll eine Schnittstelle zur OSV-Datenbank enthalten, die die Abhängigkeitsliste eines Projekts mit potenziellen Sicherheitslücken verknüpft, die das Projekt betreffen. OSV-Scanner ist für Linux, macOS und Windows verfügbar. Er ist jetzt auch Teil der OpenSSF Scorecard's Vulnerabilities check.
"Der OSV-Scanner generiert verlässliche, qualitativ hochwertige Informationen über Sicherheitslücken, die die Lücke zwischen der Liste der Pakete eines Entwicklers und den Informationen in den Datenbanken für Sicherheitslücken schließen", so Rex Pan, Software-Ingenieur beim Google Open Source Security Team, in dem Blog-Post.
Der in der Programmiersprache Go geschriebene OSV-Scanner soll Open-Source-Anwendungen untersuchen, um die Sicherheit eingebetteter Abhängigkeiten zu analysieren. Daher werden Softwarebibliotheken an Projekte angehängt, um vorgefertigte Funktionen bereitzustellen, damit Entwickler diese Funktionen nicht von Grund auf neu erstellen müssen.
Google beabsichtigt, OSV-Scanner in ein vollständiges Schwachstellenmanagement-Tool umzuwandeln, indem es weiter in die Arbeitsabläufe von Entwicklern integriert wird (über eigenständige CI-Aktionen) und Funktionen wie die automatische Behebung von Schwachstellen mit geringfügigen Versionssprüngen sowie eine verbesserte Unterstützung von C/C++-Schwachstellen hinzufügt. Dies kann geschehen, wenn OSV-Scanner auf einer Anwendung ausgeführt wird und eine Liste direkter und transitiver Abhängigkeiten mit bekannten Schwachstellen generiert, die der Anwendungsentwickler dann durch die Angabe sicherer Versionen von Paketen beheben kann, sofern diese verfügbar und kompatibel sind.
Es ähnelt den JavaScript-spezifischen Tools wie npm audit oder Socket, unterstützt aber eine breitere Palette von Paketsystemen. Android, crates.io, Debian GNU/Linux, GitHub Actions, Go, Hex, Linux-Kernel, Maven, npm, NuGet, OSS-Fuzz, Packagist, Pub, PyPI und RubyGems sind einige Beispiele.
Seine Arbeitsweise besteht darin, die Lockfiles, Software Bills of Materials (SBOMs) und Git-Verzeichnisse eines Projekts nach dem letzten Commit-Hash zu durchsuchen, dann die in den Projekten des Entwicklers verwendeten transitiven Abhängigkeiten und Versionen aufzulisten und schließlich diese Liste mit der Open Source Vulnerability (OSV)-Datenbank zu vergleichen (über die OSV.dev API).
Zu den Quellen für diesen Beitrag gehört ein Artikel in SCMedia.
