Google

Google は、開発者がプロジェクトで使用されているオープンソース ソフトウェアの依存関係の脆弱性をスキャンできる新しいツールである OSV スキャナーをリリースしました。

このスキャナは、Google が2021 年 2 月にリリースしたオープン ソース コードの分散型脆弱性データベースである OSV.dev からデータを取得し、オープンソース コードに影響を与える既知のセキュリティ問題に関する関連情報を提供します。

オープンソース コードの問題

オープンソース ソフトウェアの開発者は通常、プロジェクトで既に利用可能な多数のツール、ライブラリ、およびコンポーネントに依存しており、通常、より複雑なソリューションの迅速な開発につながります。

これらのビルディング ブロックは、多くの場合、プログラムのコア機能にとって非常に重要であり、そうでなければゼロから作成する必要がある特殊な機能をプログラムに提供します。

他のコードと同様に、これらのオープンソース コンポーネントは、セキュリティの脆弱性を透過しません。他のソフトウェア プロジェクトに組み込むと、これらの欠陥も伝染します。

多くの依存関係を使用する大規模なプログラムの場合、各ビルドで発生するセキュリティの問題を追跡し、プログラム自体への潜在的な影響を評価することは複雑な作業になります。

これらの依存関係の多くが独自の依存関係を持っていると考えると、セキュリティの観点から評価する必要があるパッケージの数により、脆弱性の追跡は困難な作業になります。

など スキャナー

ここで、Google の新しい OSV スキャナーの出番です。推移的な依存関係を含む、特定のソフトウェア プロジェクトのすべての依存関係のコードを自動的に照合し、セキュリティ アップデートが必要なときに開発者に通知します。

「OSV-Scanner は、信頼できる高品質の脆弱性情報を生成し、開発者のパッケージのリストと脆弱性データベース内の情報との間のギャップを埋めます」と発表を読みます。

スキャナーは、 OSV スキーマに従って、信頼できる信頼できるソースから公然と配布されたアドバイザリを使用して、インストールされたパッケージ バージョンの脆弱性トリアージを行います。

スキャン結果の例
スキャン結果の例(Google)

現在、OSV.dev サービスは、Linux カーネル、Android、Debian、Alpine、PyPI、npm、OSS-Fuzz、Maven など、16 の主要なコーディング エコシステムをサポートしています。

これは世界最大のオープンソースの脆弱性データベースであり、2022 年だけで 23,000 件のアドバイザリを数えています。

Google によると、OSV スキャナーの次のステップは、C/C++ 脆弱性のサポートを改善し、非常に困難なソフトウェア エコシステムに取り組み、スタンドアロンの CI アクションを統合してスキャンのスケジュールを簡単に設定できるようにすることです。

将来的には、OSV Scanner は、特定されたセキュリティ上の欠陥に対処するために推奨される最小限のバージョン バンプも推奨します。

OSV スキャナーは、誰もが制限なく無料で使用でき、 GitHubまたはosv.dev Web サイトからダウンロードできます。