Google выпускает инструмент разработчика для составления списка уязвимостей в зависимостях проектов

Разработчики Google запустил OSV Scanner, новый инструмент, который позволяет разработчикам сканировать уязвимости в зависимостях программного обеспечения с открытым исходным кодом, используемых в их проекте.

Google выпускает инструмент разработчика для составления списка уязвимостей в зависимостях проектов. Фото: Иван Анатольев

Сканер получает данные из OSV.dev, распределенной базы данных уязвимостей для открытого исходного кода, которую Google выпустила в феврале 2021 года, чтобы предоставить актуальную информацию об известных проблемах безопасности, влияющих на открытый исходный код.

Разработчики программного обеспечения с открытым исходным кодом обычно полагаются в своих проектах на ряд уже доступных инструментов, библиотек и компонентов, что обычно приводит к быстрой разработке более сложных решений.

Эти «строительные блоки» часто имеют решающее значение для основной функциональности программы, предоставляя ей специальные возможности, которые в противном случае пришлось бы писать с нуля.

Как и любой код, эти компоненты с открытым исходным кодом не защищены от уязвимостей безопасности. При включении в другие программные проекты эти недостатки также сохраняются.

Для больших программ, использующих множество зависимостей, отслеживание проблем безопасности, возникающих при каждой сборке, и оценка потенциального влияния на саму программу становится сложной задачей.

Если учесть, что многие из этих зависимостей имеют свои собственные зависимости, количество пакетов, которые необходимо оценивать с точки зрения безопасности, делает отслеживание уязвимостей практически невозможным.

Именно здесь в игру вступает новый OSV Scanner от Google, автоматически сопоставляющий код во всех зависимостях для данного программного проекта, включая транзитивные зависимости, и уведомляющий разработчиков, когда требуется обновление безопасности.

Из сообщения компании:

«OSV-Scanner генерирует достоверную высококачественную информацию об уязвимостях, которая устраняет разрыв между списком пакетов разработчика и информацией в базах данных об уязвимостях».

Сканер использует открыто распространяемые рекомендации из авторитетных и надежных источников в соответствии со схемой OSV для сортировки уязвимостей в установленной версии пакета.

В настоящее время служба OSV.dev поддерживает 16 основных экосистем кодирования, включая Linux Kernel, Android, Debian, Alpine, PyPI, npm, OSS-Fuzz и Maven.

Это крупнейшая в мире база данных уязвимостей с открытым исходным кодом, насчитывающая 23 000 рекомендаций только в 2022 году.

Google заявляет, что следующим шагом для OSV Scanner будет улучшение поддержки уязвимостей C/C++, работа с очень сложной программной экосистемой и интеграция автономных действий CI, чтобы упростить планирование сканирования.

В будущем OSV Scanner также будет рекомендовать минимальное предлагаемое изменение версии, которое устраняет выявленную уязвимость в безопасности.

OSV Scanner является бесплатным для всех без ограничений и доступен для загрузки через GitHub или веб-сайт osv.dev .

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме