O Google lançou uma ferramenta gratuita que se propõe a melhorar a segurança do código compilado a partir de dependências de código aberto — uma fonte crescente de risco para as organizações. Trata-se do OSV-Scanner, um front-end do banco de dados OSV (vulnerabilidade de código aberto) do Google, projetado para coletar dados de bugs de todos os diferentes ecossistemas de código aberto em um só lugar.
A nova ferramenta permite que os desenvolvedores verifiquem suas dependências e códigos em busca de bugs listados no banco de dados e recebam feedback instantâneo sobre a necessidade de patches ou atualizações, explicou Rex Pan, engenheiro de software do Google.
A ferramenta começa encontrando todas as dependências transitivas de um projeto, analisando manifestos, listas de materiais de software (SBOMs), documentos e hashes de confirmação.
Um relatório divulgado esta semana afirma que as dependências transitivas ou indiretas representam cerca de 95% de todas as vulnerabilidades de código aberto. No entanto, muitas vezes elas são perdidas devido à complexidade das relações entre os componentes e à falta de visibilidade desses ecossistemas.
Pan enumera várias vantagens que a ferramenta do Google tem sobre bancos de dados e scanners de código fechado. Em primeiro lugar é que cada comunicado vem de uma “fonte aberta e autorizada” — por exemplo, o RustSec Advisory Database. Em seguida, ele cita o banco de dados OSV.dev, que é o maior de seu tipo, suportando 16 ecossistemas de código aberto e atendendo a mais de 38 mil recomendações. Outro aspecto é que qualquer pessoa pode sugerir melhorias aos alertas, aperfeiçoando a qualidade da base de dados.
Veja isso
Google lança banco de dados para vulnerabilidades de código aberto
Google anuncia equipe de manutenção de código aberto
O engenheiro de software do Google cita ainda que o formato OSV armazena informações sobre as versões afetadas em um formato legível por máquina, que mapeia para a lista de pacotes de um desenvolvedor. Por fim, ele observa que os desenvolvedores recebem menos notificações de vulnerabilidade mais acionáveis, reduzindo o tempo necessário para resolvê-las, devido a esses recursos. O próximo passo, segundo Pan, será convencer a comunidade de desenvolvedores a fazer uso da ferramenta.
Um relatório da Sonatype de outubro revelou que 68% das organizações se sentiram confiantes de que seus aplicativos não estão usando bibliotecas vulneráveis. No entanto, uma amostra aleatória de aplicativos corporativos mostrou que 68% continham vulnerabilidades conhecidas.