Uno scanner di vulnerabilità per i software open source: cos'è OSV-Scanner e come funziona

A febbraio 2021 Google ha lanciato OSV.dev, un database accessibile via Web che raccoglie le vulnerabilità via via scoperte nei progetti open source.
Sì, perché quanto successo esattamente un anno fa con Log4j ha aperto il vaso di Pandora: gli attacchi basati su Log4j sono continuati e proseguono ancora oggi perché la libreria Log4j è utilizzata in molteplici progetti.

In generale, gli sviluppatori di software open source si affidano a una serie di strumenti, librerie e componenti già disponibili che semplificano la realizzazione di progetti complessi riutilizzando codice e funzionalità già disponibili. È prassi, quindi, che gran parte dei software integrino al loro interno componenti realizzati da soggetti terzi.

Come qualsiasi codice, tuttavia, questi componenti possono soffrire di problemi di sicurezza: quando vengono incorporati in altri progetti software, le problematiche si riverberano ovviamente sul programma.
Per i software di grandi dimensioni che utilizzano molte dipendenze, tenere traccia dei problemi di sicurezza può diventare un’attività estremamente articolata e complessa. Tanto che abbiamo ripetutamente parlato della filosofia DevSecOps: il ruolo della sicurezza è infatti diventato sempre più centrale nel ciclo di sviluppo del software.

Se si considera che molte delle dipendenze hanno a loro volte ulteriori dipendenze, il numero dei pacchetti software che devono essere valutati dal punto di vista della sicurezza può crescere, talvolta, in modo esponenziale.

È qui che entra in gioco OSV-Scanner, una nuova applicazione appena presentata da Google e pubblicata su GitHub che si occupa di mettere al vaglio un’applicazione, accertare le varie dipendenze e indicare agli sviluppatori quali pacchetti software necessitano di intervento perché contengono delle vulnerabilità.
Lo scanner di vulnerabilità software presentato da Google utilizza avvisi distribuiti pubblicamente da fonti autorevoli e affidabili; supporta inoltre i principali 16 ecosistemi di codifica tra cui Linux Kernel, Android, Debian, Alpine, PyPI, npm, OSS-Fuzz, e Maven.

La soluzione proposta dalla società di Mountain View si basa sul database open source di vulnerabilità più vasto al mondo: soltanto nel 2022 OSV.dev ha tenuto traccia di 23.000 bollettini di sicurezza.
Gratuito e utilizzabile senza restrizioni, OSV-Scanner evolverà nel prossimo futuro arrivando a segnalare la versione minima di ciascun pacchetto necessaria per risolvere una vulnerabilità. Migliorerà inoltre il supporto per i linguaggi C/C++ e integrerà un sistema CI (integrazione continua) utile a programmare attività di scansione automatizzate.