Conheça o OSV Scanner, uma ferramenta para verificar vulnerabilidades em dependências de software, e que foi lançada pelo Google.
O Google lançou o OSV Scanner, uma nova ferramenta que permite aos desenvolvedores verificar vulnerabilidades em dependências de software de código aberto usadas em seu projeto.
OSV Scanner, uma ferramenta para verificar vulnerabilidades
O scanner extrai dados do OSV.dev, o banco de dados de vulnerabilidade distribuído para código-fonte aberto que o Google lançou em fevereiro de 2021, para oferecer informações relevantes sobre problemas de segurança conhecidos que afetam o código-fonte aberto.
Os desenvolvedores de software de código aberto geralmente contam em seus projetos com várias ferramentas, bibliotecas e componentes já disponíveis, o que geralmente leva a um desenvolvimento mais rápido de soluções mais complexas.
Esses blocos de construção geralmente são cruciais para a funcionalidade principal de um programa, fornecendo recursos especializados que, de outra forma, teriam que ser escritos do zero.
Como qualquer código, esses componentes de código aberto não são imunes a vulnerabilidades de segurança. Quando incorporadas a outros projetos de software, essas falhas também passam.
Para programas grandes que usam muitas dependências, rastrear os problemas de segurança que surgem com cada compilação e avaliar o impacto potencial no próprio programa torna-se uma tarefa complexa.
Se considerarmos que muitas dessas dependências possuem dependências próprias, o número de pacotes que precisam ser avaliados de uma perspectiva de segurança torna o rastreamento de vulnerabilidade uma tarefa difícil.
Scanner OSV
É aqui que o novo OSV Scanner do Google entra em ação, combinando automaticamente o código em todas as dependências de um determinado projeto de software, incluindo dependências transitivas, e notificando os desenvolvedores quando uma atualização de segurança é necessária.
“O OSV-Scanner gera informações de vulnerabilidade confiáveis e de alta qualidade que preenchem a lacuna entre a lista de pacotes de um desenvolvedor e as informações nos bancos de dados de vulnerabilidades”, diz o anúncio.
O scanner usa avisos distribuídos abertamente de fontes autorizadas e confiáveis seguindo o esquema OSV para triagem de vulnerabilidade na versão do pacote instalado.
Atualmente, o serviço OSV.dev oferece suporte a 16 principais ecossistemas de codificação, incluindo Linux Kernel, Android, Debian, Alpine, PyPI, npm, OSS-Fuzz e Maven.
É o maior banco de dados de vulnerabilidades de código aberto do mundo, contando com 23.000 alertas somente em 2022.
O Google diz que o próximo passo para o OSV Scanner é melhorar o suporte à vulnerabilidade C/C++, lidando com um ecossistema de software muito desafiador e integrando ações independentes de CI para permitir o agendamento fácil de verificações.
No futuro, o OSV Scanner também recomendará o aumento de versão sugerido mínimo que aborda a falha de segurança identificada.
O OSV Scanner é gratuito para todos usarem sem restrições e está disponível para download via GitHub ou no site osv.dev.