Después de lanzar la base de datos de vulnerabilidades de código abierto (OSV.dev) en febrero, Google anuncia OSV-Scanner, un escáner de vulnerabilidades de línea de comandos gratuito que los desarrolladores de código abierto pueden usar para buscar vulnerabilidades en las dependencias de sus proyectos.
Habitualmente los proyectos de software se construyen sobre bibliotecas de software externas que se incorporan a un proyecto para agregar funcionalidades sin desarrollarlas desde cero. Estas bibliotecas contienen vulnerabilidades potencialmente conocidas existentes o nuevas que podrían descubrirse en cualquier momento. Explica la compañía a través de un post que “hay demasiadas dependencias y versiones para realizar un seguimiento manual, por lo que se requiere automatización”.
El OSV-Scanner funciona como una interfaz para la base de datos OSV.dev. Primero revisa los archivos de bloqueo de un proyecto (archivos que almacenan la información de un gráfico de dependencia), SBOM y directorios git para el hash de confirmación más reciente, luego enumera las dependencias transitivas y las versiones utilizadas en los proyectos del desarrollador, y finalmente compara esa lista con el OSV base de datos (a través de la API OSV.dev).
OSV-Scanner se puede instalar en Linux, macOS o Windows, y además se ha integrado en la comprobación de vulnerabilidades de OpenSSF Scorecard.
“Nuestro plan para OSV-Scanner no es solo construir un simple escáner de vulnerabilidades; queremos construir la mejor herramienta de gestión de vulnerabilidades, algo que también minimice la carga de remediar las vulnerabilidades conocidas”, asegura Rex Pan, ingeniero de software de Google Open Source Security Team. Añade que los próximos pasos serán una mayor integración con los flujos de trabajo de los desarrolladores; mejorar el soporte de vulnerabilidades de C/C++; y la agregación de características únicas a OSV-Scanner.
