أداة OSV-Scanner لفحص ثغرات البرامج مفتوحة المصدر

News
لعلك قد سمعت مؤخرا بأداة OSV-Scanner التي أطلقتها جوجل لفحص الثغرات مفتوحة المصدر نعرض عليك في هذا المقال كل ما تود معرفته عن هذه الأداة
Mostafa Tamam
Dec. 27, 2022, 1:17 p.m.
mostafa_tamam
أداة OSV-Scanner لفحص ثغرات البرامج مفتوحة المصدر

ما هي أداة OSV-Scanner ؟

بعد إطلاق منصة OSV.dev في شهر (فبراير) المتضمنة بقواعد بيانات الثغرات الأمنية مفتوحة المصدر أطلقت جوجل أداة OSV-Scanner وهي أداة Command-Line مجانية تمكن الـ Developers من التحقق من الثغرات الأمنية في المشاريع مفتوحة المصدر .

تم تصميم الأداة بلغة Go ، والمدعومة بقاعدة بيانات Open Source Vulnerabilities (OSV) حيث توفر واجهة أمامية مدعومة رسميًا لقاعدة بيانات OSV التي تربط قائمة المشاريع المصابة بالـ Vulnerability, الفكرة في هذه الأداة هي تحديد جميع الـ dependencies للمشروع وإبراز كل الـ Vulnerability المرتبطة به باستخدام البيانات المأخوذة من قاعدة بيانات OSV.dev.

"أوضح  Rex Pan وهو  مهندس برمجيات في فريق الـ Security Team الخاص بجوجل أن OSV.dev يسمح لجميع أنظمة الـ ecosystems المختلفة المفتوحة المصدر منها وقواعد بيانات الثغرات الأمنية بنشر المعلومات واستهلاكها بتنسيق واحد بسيط ودقيق و machine-readable أي قابل للقراءة آليًا"

صرحت Google أيضًا أن النظام الأساسي الـ open-source يدعم 16 نظام ecosystems وسيكون به أغلب لغات البرمجة والتوزيعات الأساسية مثل Linux distributions (Debian and Alpine), Android, Linux Kernel, OSS-Fuzz.

احتلت أنظمة Linux (27.4٪) ، Debian (23.2٪) ، PyPI (9.5٪) ، Alpine (7.9٪)  و npm (7.1٪) على الخمس مراكز الأولى وفقا لمنصة OSV.dev الذي أعطت 38000 تحذير أمني لمستخدمي هذه الخدمات .

كيف تعمل أداة OSV-Scanner

تعمل هذه الأداة كواجهة أمامية لقواعد بيانات منصة OSV.dev أولا يتحقق من ملفات الـ lockfiles الخاصة بالمشروع الذي تحتوى على بيانات التخزين والـ packages ثم تتحقق من الـ Hashes والـ git directories والإصدار المستخدم في المشروع والـ dependencies ثم ترسل هذه البيانات لمقارنتها مع قاعدة بيانات الـ OSV .

استخدم أداة OSV-Scanner

يمكنك تثبيت OSV-Scanner على Linux أو macOS أو Windows كما يمكنك أن تستخدم هذه الأداة كـ alert عند كتابتك لكود برمجي لتفادى الأخطاء البرمجية التي تسبب الثغرات الأمنية فيما بعد كما حدث في ثغره Log4j الأخيرة, لتحميل الأداة من هناتخطط Google أيضا لتحويل OSV-Scanner إلى أداة كاملة لإدارة الثغرات الأمنية من خلال مزيد من العمل مع المطورين ، وتحسين دعم ثغرات C/C++.

 

References:
https://security.googleblog.com/2022/12/announcing-osv-scanner-vulnerability.html
https://github.com/google/osv-scanner
https://thehackernews.com/2022/12/google-launches-largest-distributed.html


OSV-Scanner OSV.dev scanner vulnerability news Mostafa_Tamam