En bref : les tâches d’avancement open source doivent souvent dépendre de nombreuses dépendances externes, ce qui évite aux concepteurs le travail de développement de nouvelles performances à partir de zéro. Le nouvel outil de Google est la partie la plus récente de ses efforts pour aider ces projets à suivre et à corriger les vulnérabilités des dépendances présentes, en s’appuyant sur sa base de données de voisinage.
Google a présenté cette semaine OSV-Scanner, un outil complémentaire qui permet aux concepteurs d’applications logicielles open source de rechercher les vulnérabilités reconnues dans les dépendances qu’ils utilisent. Le scanner vérifie leurs travaux par rapport au schéma Open Source Vulnerability (OSV) de Google et au service OSV.dev.
Lorsque les concepteurs exécutent OSV-Scanner sur leur travail, il recherche leurs manifestes, SBOM et commit hashes pour découvrir dépendances transitives. Il relie ensuite les détails qu’il découvre à la base de données OSV de Google pour découvrir les vulnérabilités et informer les développeurs.
Google a publié la base de données OSV en février dernier pour aider les développeurs open source à trouver et à fournir facilement des informations sur les vulnérabilités dans leurs dépendances. Étant donné que les travaux open source peuvent s’appuyer sur de nombreuses dépendances, une base de données accessible peut aider les développeurs à déterminer rapidement ceux qui ont introduit de nouveaux passifs. L’OSV-Scanner introduit une toute nouvelle couche d’automatisation dans la procédure.
Google a conçu l’OSV-Scanner pour se conformer au décret exécutif américain de 2021 sur la cybersécurité, qui exige l’automatisation dans le cadre de ses normes de sécurité de l’avancement des logiciels. Le gouvernement a présenté l’ordre au milieu d’une série de cyberattaques très médiatisées comme le piratage de SolarWinds et l’attaque contre les rançongiciels sur le pipeline colonial.
Quelques mesures prises par Google devraient garantir que l’OSV-Scanner fournit un nombre exploitable d’alertes de sécurité sur lesquelles les concepteurs peuvent agir dans des délais raisonnables. Les résultats du scanner proviennent de sources fiables qui alimentent la base de données OSV, mais sa nature communautaire garantit également un riche référentiel d’informations sur les vulnérabilités. La base de données conserve également ses informations dans un format lisible par machine qui correspond entièrement aux listes de plans du concepteur.
D’autres améliorations pour l’OSV-Scanner sont en cours. Google se prépare à présenter des actions CI autonomes pour faciliter la planification et la configuration initiale. La société construit également une nouvelle base de données de vulnérabilités C/C qui comprend des métadonnées précises au niveau de la validation des CVE.
À l’avenir, l’analyse des graphiques d’appels devrait permettre à l’OSV-Scanner d’utiliser des informations de vulnérabilité spécifiques au niveau de la fonction. . L’analyse des graphiques d’appels pourrait également éventuellement produire instantanément des instructions VEX. Google souhaite que le scanner puisse proposer très peu de changements de version pour les projets où ils auraient un effet maximal pour corriger instantanément les vulnérabilités.
L’OSV-Scanner est proposé sur la page GitHub de Google.
Toute l’actualité en temps réel, est sur L’Entrepreneur
