吳明宜Google 本周宣佈推出開原碼軟體專用的免費漏洞掃瞄工具,幫助開發人員很快查詢到漏洞資訊以及修補程式。
去年 Google 釋出開原碼漏洞 (open source vulnerability, OSV) 資料庫 OSV.dev 服務,並出版了 OSV schema 。 OSV.dev 是第一個分散式開原碼軟體漏洞資料庫,讓不同漏洞資料庫都可以以簡單、精準、機器可讀的格式出版,也能享有他人貢獻的資訊。而 OSV schema 則讓其他軟體資料庫可以介接 OSV.dev 資料庫的安全通報。
Google 說自去年 6 月推出以來,OSV schema 獲得許多資料庫採用,像是 GitHub Security Advisories 和 Android Security Bulletins,現在 OSV.dev 支援 16 個社群,包括主要語言社群、 Linux 發行版 (Debian 及 Alpine),以及 Android 、 Linux Kernel 及 OSS-Fuzz,這意謂 OSV.dev 一年以來集結的安全通報由去年的 1.5 萬成長到超過 3.8 萬個,現在是全球最大的開原碼漏洞資料庫。
OSV-Scanner 是 OSV.dev 的下一步,提供 OSV 資料的官方支援前端介面,並連結影響專案的漏洞相依性清單。
Google 解釋,軟體專案一般有各種相依性,每個相依性可能存在已知或未知漏洞,人力不容易管理和追蹤這麼多相依性和版本,必須自動化,掃瞄工具正是解決之道,它可將軟體程式碼和相依性與已知漏洞比對,一旦發現需要修補或更新就會發出通知,這也是 2021 年拜登政府網路安全行政命令將自動化列為美國安全軟體開發的國家標準之一。
OSV-Scanner 可協助開發人員更快找到漏洞資訊。在專案上執行而 OSV-Scanner 時,它會先分析清單檔案 (manifest) 、軟體物料清單 (Software BOM) 、 commit hashes 等找出難以發現的相依性,之後將這些資訊連結到 OSV 資料庫,顯示和專案相關的漏洞。 OSV-Scanncer 也已整合到 OpenSSF 計分卡 (Scorecard) 的漏洞檢查,使分析標的從專案直接漏洞延伸到它所有相依性中的漏洞。這表示由評估安全風險的 OpenSSF 計分卡負責的 120 萬個專案獲得更全面的檢查。
Google 也改版了 OSV.dev,提供更好的使用者介面,方便漏洞的資訊查詢。
來源:Google