Google ha lanzado OSV Scanner, una nueva herramienta que permite a los desarrolladores buscar vulnerabilidades en las dependencias de software de código abierto utilizadas en su proyecto.
El escáner extrae datos de OSV.dev y la base de datos de vulnerabilidades distribuida para código fuente abierto que Google lanzó en febrero de 2021 sirve para ofrecer información relevante sobre vulnerabilidades de seguridad conocidas que afectan el código fuente abierto.
Vulnerabilidades de código fuente abierto
Los desarrolladores de software de código abierto generalmente confían en sus proyectos en una serie de herramientas, bibliotecas y componentes ya disponibles lo que generalmente conduce a un desarrollo más rápido de soluciones más complejas.
Estos componentes básicos suelen ser cruciales para la funcionalidad principal de un programa, ya que le brindan capacidades especializadas que, de otro modo, tendrían que escribirse desde cero.
Como cualquier código, estos componentes de código abierto no son inmunes a las vulnerabilidades de seguridad. Cuando se incorporan a otros proyectos de software estos defectos también se transmiten.
Para programas grandes que utilizan muchas dependencias, el seguimiento de estas vulnerabilidades de seguridad que surgen con cada compilación y la evaluación del impacto potencial en el programa mismo se convierte en una tarea compleja.
Si se considera que muchas de estas dependencias tienen sus propias dependencias, la cantidad de paquetes que deben evaluarse desde una perspectiva de seguridad hace que el seguimiento de vulnerabilidades sea una tarea difícil.
Escáner OSV
Aquí es donde entra en juego el nuevo OSV Scanner de Google que hace coincidir automáticamente el código en todas las dependencias de un proyecto de software determinado incluidas las dependencias transitivas y notifica a los desarrolladores cuando se requiere una actualización de seguridad.
“OSV-Scanner genera información de vulnerabilidad confiable y de alta calidad que cierra la brecha entre la lista de paquetes de un desarrollador y la información en las bases de datos de vulnerabilidad” se lee en el anuncio.
El escáner utiliza avisos distribuidos abiertamente de fuentes autorizadas y confiables que siguen el esquema OSV para la clasificación de vulnerabilidades en la versión del paquete instalado.
Actualmente, el servicio OSV.dev admite 16 ecosistemas de codificación importantes, incluidos Linux Kernel, Android, Debian, Alpine, PyPI, npm, OSS-Fuzz y Maven.
Es la base de datos de vulnerabilidades de código abierto más grande del mundo, con 23 000 avisos solo en 2022.
Google dice que el siguiente paso para OSV Scanner es mejorar el soporte de vulnerabilidades de C/C++, abordar un ecosistema de software muy desafiante e integrar acciones de CI independientes para permitir una fácil programación de escaneos.
En el futuro OSV Scanner también recomendará la mejora de versión mínima sugerida que aborda la vulnerabilidad de seguridad identificada.
OSV Scanner es gratuito para que todos lo usen sin restricciones y está disponible para descargar a través de GitHub o del sitio web osv.dev .
Fuente: https://www.bleepingcomputer.com/news/security/google-releases-dev-tool-to-list-vulnerabilities-in-project-dependencies/
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.