Proyek pengembangan open-source seringkali harus bergantung pada banyak faktor eksternal, sehingga pengembang tidak perlu bekerja membangun fungsionalitas baru dari awal. Tool baru Google adalah bagian terbaru dari upayanya untuk membantu proyek semacam melacak dan memecahkan kerentanan keterikatan, dengan membangun basis data komunitasnya.

Google memperkenalkan OSV-Scanner minggu ini, tool gratis yang memungkinkan pengembang membuat software open-source memindai kerentanan yang diketahui dalam keterikatan yang mereka gunakan. Pemindai memeriksa proyek mereka berdasarkan skema Kerentanan Open-Source (OSV) Google dan layanan OSV.dev.

Ketika pengembang menjalankan OSV-Scanner pada pekerjaan mereka, mencari manifes mereka, SBOM, dan melakukan hash untuk menemukan dependensi transitif. Itu kemudian menautkan informasi yang ditemukannya ke database OSV Google untuk menemukan kerentanan dan memberi tahu pengembang.

Image Credit: www.reddit.com

Google meluncurkan database OSV Februari lalu untuk membantu pengembang open-source dengan mudah menemukan dan menyumbangkan informasi tentang kerentanan dalam dependensi mereka. Karena proyek open-source dapat mengandalkan sejumlah besar keterikatan, database yang dapat diakses dapat membantu pengembang dengan cepat menentukan mana yang memperkenalkan kewajiban baru. OSV-Scanner memperkenalkan lapisan otomatisasi baru ke dalam proses.

Google merancang Pemindai OSV untuk mematuhi Perintah Eksekutif AS untuk Keamanan Siber 2021, yang mewajibkan otomatisasi sebagai bagian dari standarnya untuk keamanan pengembangan software. Pemerintah memberlakukan perintah tersebut di tengah serangkaian serangan dunia maya seperti peretasan SolarWinds dan serangan ransomware di Colonial Pipeline.

Beberapa langkah yang diambil Google harus memastikan OSV-Scanner memberikan sejumlah pemberitahuan keamanan yang dapat dikelola yang dapat ditindaklanjuti pengembang dalam rentang waktu yang wajar. Hasil pemindai berasal dari sumber otoritatif yang dimasukkan ke dalam basis data OSV, tetapi sifatnya yang dipimpin komunitas juga memastikan penyimpanan informasi yang kaya tentang kerentanan. Basis data juga menyimpan informasinya dalam format yang dapat dibaca mesin yang dipetakan dengan sempurna ke daftar paket pengembang.

Lebih banyak perbaikan untuk Pemindai OSV sedang dalam pengembangan. Google berencana untuk memperkenalkan tindakan CI mandiri untuk memfasilitasi penjadwalan dan penyiapan awal. Perusahaan juga membangun basis data kerentanan C/C++ baru yang menyertakan metadata tingkat komitmen yang tepat untuk CVE.

Di masa mendatang, call graph analysis harus memungkinkan Pemindai OSV menggunakan informasi kerentanan tingkat fungsi tertentu. Call graph analysis juga pada akhirnya dapat menghasilkan pernyataan VEX secara otomatis. Selain itu, Google ingin pemindai dapat mengusulkan peningkatan versi minimal untuk proyek yang memiliki dampak maksimum untuk mengatasi kerentanan secara otomatis.

Pemindai OSV tersedia di halaman GitHub Google.