{"id":7309,"date":"2022-12-22T13:38:32","date_gmt":"2022-12-22T13:38:32","guid":{"rendered":"https:\/\/network-king.net\/google-neues-tool-fuer-sichere-open-source-codes\/"},"modified":"2022-12-22T13:43:30","modified_gmt":"2022-12-22T13:43:30","slug":"google-neues-tool-fuer-sichere-open-source-codes","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/google-neues-tool-fuer-sichere-open-source-codes\/","title":{"rendered":"Google: Neues Tool f\u00fcr sichere Open-Source-Codes"},"content":{"rendered":"\n

Google hat im Dezember ein kostenloses Tool f\u00fcr Open-Source-Entwickler ver\u00f6ffentlicht: den OSV-Scanner<\/a>. Damit sollen sich Informationen \u00fcber Sicherheitsl\u00fccken leicht finden lassen. Der Scanner bietet eine Schnittstelle zur OSV-Datenbank, die die Abh\u00e4ngigkeitsliste eines Projekts mit Sicherheitsl\u00fccken verbindet, die das Projekt m\u00f6glicherweise betreffen.<\/p>\n\n\n\n

Es handelt sich um eine Weiterentwicklung von zwei anderen Google-Projekten, die darauf abzielen, die Suche nach Sicherheitsl\u00fccken f\u00fcr Entwickler und Nutzer von Open-Source-Software zu verbessern. Eine davon war die Ver\u00f6ffentlichung des Open-Source-Vulnerability-Schemas (OSV)<\/a>: eine Datenbank, die Tausende von Sicherheitsl\u00fccken aus 16 \u00d6kosystemen zusammenfasst \u2013 darunter OSS-Fuzz, Go, Rust, Python und DWF. Die andere Initiative war der Start des OSV.dev<\/a>-Dienstes, der es verschiedenen Open-Source-\u00d6kosystemen und Vulnerability-Datenbanken erm\u00f6glicht, Informationen in einem einfachen, genauen sowie maschinenlesbaren Format zu ver\u00f6ffentlichen und zu nutzen.<\/p>\n\n\n\n

Im Allgemeinen bestehen bei Softwareprojekten zahlreiche Abh\u00e4ngigkeiten. Dabei werden externe Bibliotheken eingebunden, um Funktionen hinzuzuf\u00fcgen, ohne diese von Grund auf neu entwickeln zu m\u00fcssen. Diese Dependencies k\u00f6nnen Schwachstellen enthalten, die vorher bekannt waren oder erst nach der Entwicklung der Software entdeckt wurden. Die manuelle Kontrolle all dieser Abh\u00e4ngigkeiten, ihrer Versionen und ihrer Schwachstellen ist eine fehleranf\u00e4llige sowie ineffiziente Aufgabe, die einen automatisierten Ablauf ben\u00f6tigt.<\/p>\n\n\n\n

An dieser Stelle k\u00f6nnen Scanner helfen: Sie verf\u00fcgen \u00fcber automatisierte Funktionen, die den Code und seine Dependencies mit Listen von Sicherheitsl\u00fccken abgleichen. Gleichzeitig informieren sie bei Bedarf den Nutzer \u00fcber Patches oder Updates. Wie gro\u00df die Relevanz dieses Systems ist, hat sich inzwischen best\u00e4tigt: Die Executive Order for Cybersecurity 2021<\/a> der Vereinigten Staaten hat diese Art von Automatisierung als eine Anforderung in die nationalen Standards f\u00fcr sichere Softwareentwicklung aufgenommen.<\/p>\n\n\n\n

Laut Google bringt der OSV-Scanner mehrere Vorteile mit sich: Im Gegensatz zu Closed Source Advisory Bases und -Scannern ist die f\u00fcr die Abfrage verwendete OSV.dev-Datenbank quelloffen und dezentralisiert. So stammt zum Beispiel jeder Hinweis auf eine Sicherheitsl\u00fccke aus einer offenen und zuverl\u00e4ssigen Quelle. Jeder kann Verbesserungen zu den Hinweisen vorschlagen und so dazu beitragen, eine qualitativ hochwertige Datenbank zu erhalten. Dar\u00fcber hinaus ist das OSV-Format maschinenlesbar.<\/p>\n\n\n\n

Der OSV-Scanner findet zun\u00e4chst die Abh\u00e4ngigkeiten der fraglichen Software und verbindet dann diese Informationen mit der OSV-Datenbank, um relevante Schwachstellen im Projekt anzuzeigen. Da das Tool in die OpenSSF Scorecard<\/a> integriert ist, werden bei der Analyse auch die Schwachstellen der 1,2 Millionen Projekte ber\u00fccksichtigt, die Scorecard regelm\u00e4\u00dfig bewertet.<\/p>\n\n\n\n

Insgesamt vereint der OSV.dev-Dienst, die Arbeitsgrundlage des OSV-Scanner-Tools, 16 \u00d6kosysteme: Die wichtigsten darunter sind Linux-Sprachen, -Systeme und -Distributionen. Damit ist OSV.dev laut Google die bedeutendste Open-Source-Vulnerability-Datenbank mit insgesamt mehr als 38.000 Warnmeldungen.<\/p>\n\n\n\n

Wie sehen die weiteren Planungen aus?<\/h2>\n\n\n\n

Google plant, OSV-Scanner nicht nur als einfachen Scanner anzubieten: Der Konzern m\u00f6chte ein f\u00fchrendes Tool zur Verwaltung von Sicherheitsl\u00fccken zu entwickeln, das auch dazu beitragen wird, die Belastung durch die Behebung bekannter Fehler zu minimieren.<\/p>\n\n\n\n

In der ersten Phase soll das Tool in die Arbeitsabl\u00e4ufe von Entwicklern integriert werden und eine einfache Konfiguration sowie Zeitplanung erm\u00f6glichen, um das Auftreten von Schwachstellen zu verfolgen.<\/p>\n\n\n\n

Dar\u00fcber hinaus steht die Verbesserung der Kompatibilit\u00e4t mit den C\/C++-Sprachen auf der Agenda, die nach Ansicht von Google eines der schwierigsten \u00d6kosysteme f\u00fcr das Schwachstellenmanagement darstellen \u2013 schlie\u00dflich g\u00e4be es keinen kanonischen Paketmanager zur Identifizierung von C\/C++-Code.<\/p>\n\n\n\n

Google m\u00f6chte dem OSV-Scanner auch einzigartige Funktionen hinzuf\u00fcgen. Dazu geh\u00f6rt die F\u00e4higkeit, Informationen \u00fcber Sicherheitsl\u00fccken auf Funktionsebene durch die Analyse von Aufrufdiagrammen zu nutzen. Au\u00dferdem sollen anhand minimaler \u00c4nderungen Sicherheitsl\u00fccken m\u00f6glicherweise automatisch behoben werden.<\/p>\n\n\n\n

OSV-Scanner l\u00e4sst sich bei osv.dev<\/a> herunterladen. Eine weitere M\u00f6glichkeit besteht darin, das Tool automatisch mit dem GitHub-Projekt unter Verwendung von Scorecard<\/a> auszuf\u00fchren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Google hat im Dezember ein kostenloses Tool f\u00fcr Open-Source-Entwickler ver\u00f6ffentlicht: den OSV-Scanner. Damit sollen sich Informationen \u00fcber Sicherheitsl\u00fccken leicht finden lassen. Der Scanner bietet eine Schnittstelle zur OSV-Datenbank, die die Abh\u00e4ngigkeitsliste eines Projekts mit Sicherheitsl\u00fccken verbindet, die das Projekt m\u00f6glicherweise betreffen. Es handelt sich um eine Weiterentwicklung von zwei anderen Google-Projekten, die darauf abzielen, die…<\/p>\n","protected":false},"featured_media":7307,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[57],"tags":[],"company":[],"topic":[],"class_list":["post-7309","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-it-monitoring-de"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/7309","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=7309"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/7307"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=7309"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=7309"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=7309"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=7309"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=7309"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=7309"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}