Los programas de software de código abierto suelen depender de terceros, lo que libera a los programadores de la necesidad de implementar nuevas funciones desde cero. Utilizando como recurso su base de datos comunitaria, la nueva herramienta de Google ofrece a los proyectos la posibilidad de supervisar y abordar los riesgos que afectan a las dependencias.
Esta semana, Google ha presentado OSV-Scanner, una herramienta gratuita que permite a los autores de software de código abierto escanear las dependencias en busca de vulnerabilidades conocidas. Sus proyectos se comparan con el esquema OSV de Google y se comprueban mediante el servicio OSV.dev.
OSV-Scanner buscará dependencias transitivas a través de manifiestos, SBOMs y commit hashes. Para ello, vincula la información a la base de datos de vulnerabilidades de código abierto de Google con el fin de encontrar fallos y notificarlos a los desarrolladores.
En febrero, Google creó OSV para ayudar a los desarrolladores de código abierto a localizar y notificar información sobre vulnerabilidades. La disponibilidad de una base de datos puede ser de gran ayuda para los desarrolladores a la hora de determinar qué dependencias de código abierto introducen nuevos peligros. OSV-Scanner es un complemento que automatiza.
Para cumplir los requisitos de la Orden Ejecutiva de 2021 de EE.UU. sobre Ciberseguridad, que exige la automatización del desarrollo de software, Google desarrolló OSV-Scanner. Se llegó a esta conclusión a raíz de ataques de gran repercusión, como el de SolarWinds y el ransomware contra Colonial Pipeline.
Un mínimo de trabajo por parte de Google debería garantizar que el OSV-scanner genere notificaciones de seguridad fáciles de manejar y sobre las que los desarrolladores puedan actuar inmediatamente. OSV pone a disposición una amplia colección de información sobre vulnerabilidades obtenida de fuentes fiables gracias al hecho de que está impulsado por la comunidad. El formato de la base de datos, legible por máquina, se corresponde con los listados de paquetes para desarrolladores.
El OSV-Scanner seguirá desarrollándose. Con el fin de agilizar la programación y la configuración, Google implementará etapas de CI independientes. Además, la organización está trabajando en una base de datos de vulnerabilidades de C/C++ que incluya datos específicos a nivel de commit.
OSV-Scanner debería ser capaz de aprovechar la información sobre vulnerabilidades a nivel de función cuando se realice el análisis del gráfico de llamadas. Las declaraciones VEX podrían producirse mediante el examen de los gráficos de llamadas. Google desea que el escáner recomiende actualizaciones de versiones menores para proyectos en los que dichas actualizaciones solucionen automáticamente los problemas.