OSV-Scanner: un escáner de vulnerabilidad gratuito para software de código abierto
2 min readDespués de publicar la base de datos de vulnerabilidades de código abierto (OSV.dev) en febrero, Google lanzó la escáner OSVun escáner de vulnerabilidades de línea de comandos gratuito que los desarrolladores de código abierto pueden usar para verificar vulnerabilidades en las dependencias de sus proyectos.
Encuentre vulnerabilidades en dependencias de código abierto
“OSV.dev permite que todos los diversos ecosistemas de código abierto y bases de datos de vulnerabilidades publiquen y consuman información en un formato simple, preciso y legible por máquina”. Explique Rex Pan, ingeniero de software del equipo de seguridad de código abierto de Google.
“En total, OSV.dev ahora admite 16 ecosistemas, incluidos todos los principales ecosistemas de idiomas, distribuciones de Linux (Debian y Alpine), así como Android, Linux Kernel y OSS-Fuzz. Esto significa que la base de datos OSV.dev es ahora la base de datos de vulnerabilidades de código abierto más grande de su tipo, con un total de más de 38 000 revisiones de las 15 000 revisiones de hace un año.
El OSV-Scanner funciona como una interfaz con la base de datos OSV.dev.
Primero examina los archivos de bloqueo de un proyecto (archivos que almacenan información para un gráfico de dependencia), SBOMy directorios git para el último hash de confirmación, luego enumera dependencias transitivas y las versiones utilizadas en los proyectos del desarrollador, y finalmente compara esta lista con la base de datos OSV (a través de la API OSV.dev).
La salida resultante se ve así:
Uso del escáner OSV
OSV-Scanner se puede instalar en Linux, macOS o Windows. También se incorporó a la Comprobación de vulnerabilidades de OpenSSF Scorecard.
“Para crear la lista de dependencias, puede apuntar OSV-Scanner a su directorio de proyectos o pasar manualmente la ruta a archivos de manifiesto individuales”, explica Google. La herramienta se puede configurar para ignorar vulnerabilidades específicas.
Google planea convertir OSV-Scanner en una herramienta completa de administración de vulnerabilidades integrándose aún más en los flujos de trabajo de los desarrolladores (a través de acciones de CI independientes), agregando funciones como parches automáticos de vulnerabilidades realizando cambios mínimos en la versión y mejorando el soporte para vulnerabilidades C/C++. .
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.
