Google, geliştiricilere projeleri ile ilgili güvenlik açığı bilgilerine kolay erişim sağlayan ücretsiz bir açık kaynak aracı olan OSV-Scanner adlı yeni bir aracı piyasaya sürdü.
2021’de Google, çeşitli açık kaynaklı ekosistemlerin ve güvenlik açığı veritabanlarının bilgileri makine tarafından okunabilir tek bir biçimde yayınlamasına ve tüketmesine olanak tanıyan, dağıtılmış bir açık kaynaklı güvenlik açığı veritabanı olan OSV.dev hizmetini kullanıma sundu.
Google’a göre, OSV-Scanner artık bu OSV veritabanına, bir projenin bağımlılıklar listesini onları etkileyen güvenlik açıklarıyla birleştiren, resmi olarak desteklenen bir ön uç sağlıyor.
OSV-Scanner, görünüşe göre OpenSSF’nin Puan Kartı Güvenlik Açıkları kontrolüne entegre edilmiştir; bu, analizi yalnızca bir projenin doğrudan güvenlik açıklarından tüm bağımlılıklarındaki güvenlik açıklarını da içerecek şekilde genişletebileceği anlamına gelir.
Yazılım projeleri genellikle dış yazılım kitaplıklarından kaynaklanan birçok üçüncü taraf bağımlılığı içerdiğinden ve manuel olarak takip edilemeyecek kadar çok farklı sürüm bulunduğundan, Google’a göre otomasyon güvenliği sağlamak için yararlı olacaktır.
Ek olarak, her güvenlik açığı danışma belgesi, RustSec Danışma Veritabanı gibi “açık ve yetkili bir kaynaktan” gelir.
Google, herkesin çok yüksek kaliteli bir veritabanıyla sonuçlanan tavsiyelerde iyileştirmeler önerebileceğini söylüyor.
OSV-Scanner’ı denemekle ilgileniyorsanız, şu adrese gidebilirsiniz: İnternet sitesi (yeni sekmede açılır) ve talimatları izleyin veya GitHub kılavuzu (yeni sekmede açılır).
Google’ın kaynakları Açık Kaynak Güvenliğine aktarmaya çalışması şaşırtıcı değil, açık kaynak güvenlik açıkları, bilgisayar korsanlarının sistemlere girmeleri için önemli bir son nokta olmaya devam ediyor.
Aslında, siber güvenlik şirketi Snyk’in Linux Vakfı ile birlikte hazırladığı bir rapor, beş firmadan ikisinin (%41) açık kaynak kodunun güvenliğinden emin olmadığını ortaya koydu.
Bu güven eksikliği, birçok durumda teknolojinin benimsenmesini engelliyor, üretim ortamlarında açık kaynaklı yazılım dağıtmak isteyen şirketlerin sayısı, 2021’de %95’ten bu yıl %90’a düşerek %5 düştü.
işletim-sistemi-1