Google açık kaynak geliştiricilere, projeleri ile ilgili güvenlik açığı bilgilerine kolay erişim sağlayan ücretsiz bir araç olan OSV-Scanner’ı kullanımına sundu.
Geçen yıl, açık kaynaklı yazılım geliştiricileri ve tüketicileri için güvenlik açığı önceliğini iyileştirmek için işe koyulan Google, Unified Vulnerability Schema for Open Source ( Açık Kaynak Güvenlik Açığı (OSV) şeması ) bu linkten yayınlamıştı; https://security.googleblog.com/2021/06/announcing-unified-vulnerability-schema.html
Google; OSV, tüm farklı açık kaynak ekosistemlerinin ve güvenlik açığı veritabanlarının bilgileri tek bir basit, kesin ve makine tarafından okunabilir biçimde yayınlamasına ve tüketmesine olanak tanır. olarak nitelendiriyor.
OSV Nedir?
Yazılım projeleri genellikle bir bağımlılık dağının üzerine inşa edilir; işlevleri sıfırdan geliştirmeden eklemek için bir projeye dahil ettiğiniz harici yazılım kitaplıklarını içerir. Her bağımlılık potansiyel olarak mevcut bilinen güvenlik açıklarını veya herhangi bir zamanda keşfedilebilecek yeni güvenlik açıklarını içerir. Manuel olarak takip edilmesi gereken çok fazla bağımlılık ve sürüm vardır, bu nedenle otomasyon gereklidir.
Bu tip tarayıcılar, kodunuzu ve bağımlılıklarınızı bilinen güvenlik açıkları listeleriyle eşleştirerek ve yamalar veya güncellemeler gerekip gerekmediğini size bildirerek bu otomatik yeteneği sağlar. Hatta 2021 yılında ABD Siber Güvenlik İdari Kararnamesi , güvenli yazılım geliştirmeye ilişkin ulusal standartlar için bir gereklilik olarak bu tür otomasyonları dahil etmiştir.
Tarayıcıyı projenizde çalıştırdığınızda, önce manifestoları, SBOM’ları analiz ederek ve hash’leri gerçekleştirerek kullanılan tüm geçişli bağımlılıkları bulacaktır. Tarayıcı daha sonra bu bilgileri OSV veri tabanına bağlar ve projenizle ilgili güvenlik açıklarını görüntüler.
OSV-Scanner ayrıca OpenSSF Scorecard’ın Güvenlik Açıkları kontrolüne entegre edilmiştir; bu, analizi bir projenin doğrudan güvenlik açıklarından tüm bağımlılıklarındaki güvenlik açıklarını da içerecek şekilde genişletecektir. Bu, Scorecard tarafından düzenli olarak değerlendirilen 1,2 milyon projenin, proje güvenliklerinin daha kapsamlı bir ölçüsüne sahip olacağı anlamına gelir.
Yenilik olarak;
OSV şeması , GitHub Güvenlik Önerileri ve Android Güvenlik Bültenleri gibi güvenlik açığı veritabanlarından önemli ölçüde benimsenmiştir . OSV.dev artık tüm önemli dil ekosistemleri, Linux dağıtımları (Debian ve Alpine) ve ayrıca Android, Linux Kernel ve OSS-Fuzz dahil olmak üzere toplam 16 ekosistemi destekliyor. Bu, OSV.dev veritabanının, bir yıl önce 15.000 öneriden toplam 38.000’in üzerinde öneri ile türünün en büyük açık kaynaklı güvenlik açığı veritabanı olduğu anlamına gelir.
Sıradaki ne?
- İlk adım , bağımsız CI eylemleri sunarak geliştirici iş akışlarıyla daha fazla bütünleşmek ve yeni güvenlik açıklarını takip etmek için kolay kurulum ve planlamaya olanak tanımaktır.
- C/C++ güvenlik açığı desteğini geliştirin : Güvenlik açığı yönetimi için en zorlu ekosistemlerden biri, C/C++ yazılımını tanımlayan standart bir paket yöneticisinin olmaması nedeniyle C/C++’tır. OSV, CVE’lere kesin taahhüt düzeyi meta verileri ekleyerek yüksek kaliteli bir C/C++ güvenlik açıkları veritabanı oluşturarak bu boşluğu dolduruyor.
- Ayrıca OSV-Scanner’a, çağrı grafiği analizi yaparak belirli işlev düzeyindeki güvenlik açığı bilgilerini kullanma yeteneği ve maksimum etkiyi sağlayan minimum sürüm çarpmaları önererek güvenlik açıklarını otomatik olarak düzeltebilme gibi benzersiz özellikler eklemek isteniyor
- VEX desteği : Örneğin çağrı grafiği analizi kullanarak otomatik olarak VEX ifadeleri oluşturma.
Kaynak: https://security.googleblog.com/2022/12/announcing-osv-scanner-vulnerability.html