رونمایی گوگل از OSV-Scanner برای شناسایی دقیق آسیب پذیری های نرم افزاری

به گزارش گروه دانش و فناوری اقتصاد ۱۰۰ و به نقل از سخت افزارمگ، مهندس نرم‌افزار گوگل در این رابطه اذعان کرد که نرم‌افزار جدید با استفاده از زبان برنامه‌نویسی Go نوشته شده و مبتنی بر دیتابیس آسیب‌پذیری‌های OSV است.

او در ادامه افزود که اسکنر مورد نظر اطلاعات مطمئنی در خصوص آسیب‌پذیری‌ها تولید می‌کند و این شکاف اطلاعاتی بین لیست پکیج‌های توسعه دهنده و اطلاعات پایگاه داده آسیب‌پذیری را کاهش می‌دهد. ایده اصلی پشت این پروژه شناسایی تمام Transitive dependency در نرم‌افزار و استفاده از دیتابیس OSV و نشان دادن آسیب‌پذیری‌های مرتبط با آن است.

وابستگی گذرا یا transitive dependency در واقع به هر فراخوانی از مولفه‌های برنامه گفته می‌شود که در واقع نرم‌افزار به صورت مستقیم به آن‌ها اشاره می‌کند. گوگل همچنین بیان کرد که اسکنر و پلتفرم توسعه یافته اپن سورس خود، از 16 پلتفرم مختلف پشتیبانی می‌کند و این شامل تمامی زبان‌های برنامه‌نویسی اصلی، توزیع‌های مختلف لینوکس و همچنین اندروید، کرنل لینوکس و OSS-Fuzz می‌شود.

نتیجه این گسترش قابلیت و استفاده از OSV این است که دیتابیس این پلتفرم شامل بیش از 38000 توصیه و هشدار امنیتی شده که این در مقایسه با سال گذشته با 15000، افزایشی بیش از دو برابر محسوب می‌شود.

در همین راستا لینوکس با 27.4 درصد، Debian با 32.2 درصد، PyPI با 9.5، alpine linux با 7.9 درصد و npm با 7.1 درصد بیشترین تعداد این هشدارها را تشکیل می‌دهند. گوگل در ادامه بیان کرد که در حال کار بر روی پشتیبانی گسترده از زبان‌های C و ++C با ایجاد یک پایگاه داده با کیفیت است که شامل اضافه کردن متادیتای precise commit level به CVE ها می‌شود و این در واقع انسجام ارائه اطلاعات هشدار دهنده و مشاوره‌ای در خصوص آسیب‌پذیری‌ها را برای زبان‌های مختلف به ارمغان می‌آورد.

گوگل OSV-Scanner تقریبا پس از دو ماه از راه‌اندازی Google GUAC معرفی شده و GUAC نیز با هدف کاهش آسیب‌پذیری‌ها در زنجیره تامین نرم‌افزاری راه‌اندازی شده است. هفته گذشته، گوگل همچنین گزارش جدیدی با عنوان چشم انداز امنیت منتشر کرد که در آن از سازمان‌ها خواست تا یک چارچوب مشترک SLSA (Supply-chain Levels for Software Artifacts) را برای جلوگیری از دستکاری، بهبود یکپارچگی و ایمن کردن پکیج‌های نرم‌افزاری در برابر تهدیدات احتمالی ایجاد و راه‌اندازی کنند.

سایر توصیه‌های ارائه شده گوگل در این رابطه شامل بر عهده گرفتن بیشتر مسئولیت‌ها در محصولات اپن سورس و اتخاذ رویکردی جامع‌تر برای مقابله احتمالی با آسیب‌پذیری‌هایی مانند Log4j و SolarWinds که در سال‌های اخیر اتفاق افتاده می‌شود.

غول جستجوی آنلاین همچنین اظهار کرد که حملات زنجیره تامین نرم‌افزاری معمولا مستلزم مهارت فنی زیاد و تعهد بالا در سمت مهاجم سایبری است و این عملیات توسط گروه‌هایی با مهارت‌های بالا انجام می‌شود. این شرکت همچنین تایید کرد که بیشتر کمپانی‌ها در برابر حملات زنجیره تامین نرم‌افزاری آسیب‌پذیر هستند و مهاجمان نیز برای نفوذ عمیق‌تر در شبکه معمولا ارائه دهنده نرم‌افزاری شخص ثالث که روابط تجاری مناسبی با مشتریان دارد را هدف قرار می‌دهند.