Google lanza la mayor base de datos distribuida de vulnerabilidades de código abierto
OSV-Scanner admite 16 ecosistemas, contando todos los principales lenguajes, distribuciones de Linux (Debian y Alpine), así como Android, Linux Kernel y OSS-Fuzz
Google anunció el martes la disponibilidad de código abierto de OSV-Scanner, un escáner que tiene como objetivo ofrecer un fácil acceso a la información de vulnerabilidad sobre varios proyectos.
La herramienta basada en Go, impulsada por la base de datos de vulnerabilidades de código abierto (OSV), está diseñada para conectar "la lista de dependencias de un proyecto con las vulnerabilidades que las afectan", dijo en una publicación el ingeniero de software de Google, Rex Pan.
"OSV-Scanner genera información de vulnerabilidad confiable y de alta calidad que cierra la brecha entre la lista de paquetes de un desarrollador y la información en las bases de datos de vulnerabilidad", agregó Pan.
La idea es identificar todas las dependencias transitivas de un proyecto y resaltar las vulnerabilidades relevantes utilizando datos extraídos de la base de datos OSV.dev.
Google declaró además que la plataforma de código abierto admite 16 ecosistemas, contando todos los principales lenguajes, distribuciones de Linux (Debian y Alpine), así como Android, Linux Kernel y OSS-Fuzz.
El resultado de esta expansión es que OSV.dev es un repositorio de más de 38.000 avisos, frente a las 15.000 alertas de seguridad de hace un año, con Linux (27,4 %), Debian (23,2 %), PyPI (9,5 %), Alpine (7,9 %) y npm (7,1 %) ocupando los cinco primeros lugares.
En cuanto a los próximos pasos, el gigante de Internet señaló que está trabajando para incorporar soporte para fallas de C/C++ mediante la creación de una "base de datos de alta calidad" que implica agregar "metadatos de nivel de confirmación precisos a CVE".
OSV-Scanner llega casi dos meses después de que Google lanzara GUAC, abreviatura de Graph for Understanding Artifact Composition, para complementar los niveles de cadena de suministro para artefactos de software (SLSA o "salsa") como parte de sus esfuerzos para fortalecer la seguridad de la cadena de suministro de software.
La semana pasada, Google también publicó un nuevo informe "Perspectivas sobre la seguridad" en el que se pide a las organizaciones que desarrollen e implementen un marco SLSA común para evitar la manipulación, mejorar la integridad y proteger los paquetes contra posibles amenazas.
Otras recomendaciones presentadas por la empresa incluyen asumir responsabilidades adicionales de seguridad de código abierto y adoptar un enfoque más holístico para abordar riesgos como los presentados por la vulnerabilidad Log4j y el incidente de SolarWinds en los últimos años.
"Los ataques a la cadena de suministro de software generalmente requieren una gran aptitud técnica y un compromiso a largo plazo para lograrlo", dijo la compañía. "Es más probable que los actores sofisticados tengan tanto la intención como la capacidad de realizar este tipo de ataques".
"La mayoría de las organizaciones son vulnerables a los ataques de la cadena de suministro de software porque los atacantes se toman el tiempo para apuntar a proveedores externos con conexiones confiables a las redes de sus clientes. Luego usan esa confianza para profundizar en las redes de sus objetivos finales".
