谷歌开源漏洞扫描工具OSV-Scanner

谷歌发布OSV-Scanner，一款开源漏洞（Open Source Vulnerability，OSV）数据库前端接口。OSV 数据库是一个分布式开源数据库，通过 OSV 格式存储漏洞信息。OSV-Scanner 会基于 OSV 数据库评估项目的依赖项，显示与项目相关的所有漏洞。

在扫描项目时，OSV-Scanner 首先通过分析清单、软件材料清单（SBOM）和代码提交哈希值来确定正在使用的所有依赖项。这些信息用于查询 OSV 数据库，并报告与项目相关的漏洞。漏洞通过表格的形式或基于 JSON 的 OSV 格式（可选）进行报告。

OSV-Scanner 的漏洞扫描输出（来源）

OSV格式提供了一种机器可读的 JSON 模式，用于表示漏洞信息。这种格式被用来加强与实际开源包中使用的命名和方案一致的版本规范。谷歌高级工程师Oliver Chang和谷歌杰出工程师Russ Cox表示，这种方法“可以用来描述任意开源生态系统中的漏洞，同时又不需要依赖生态系统的逻辑来处理它们。”

"schema_version": "1.3.0",
  "id": "GHSA-c3g4-w6cv-6v7h",
  "modified": "2022-04-01T13:56:42Z",
  "published": "2022-04-01T13:56:42Z",
  "aliases": [ "CVE-2022-27651" ],
  "summary": "Non-empty default inheritable capabilities for linux container in Buildah",
  "details": "A bug was found in Buildah where containers were created ...",
  "affected": [
    {
      "package": {
        "ecosystem": "Go",
        "name": "github.com/containers/buildah"
      },
      "ranges": [
        {
          "type": "SEMVER",
          "events": [
            {
              "introduced": "0"
            },
            {
              "fixed": "1.25.0"
            }
          ]
        }
      ]
    }
  ],
  "references": [
    {
      "type": "WEB",
      "url": "https://github.com/containers/buildah/commit/..."
    },
    {
      "type": "PACKAGE",
      "url": "https://github.com/containers/buildah"
    }
  ]
}

使用命令 osv-scanner -r /path/to/your/dir 来扫描目录，找到 lockfiles、SBOM 和 git 目录。选项-r 用于进行递归扫描。目前支持使用 Package URL 的 SPDX 和 CycloneDX SBOM，也支持多种锁文件，包括 yarn.lock、composer.lock、go.mod 和 Gemfile.lock。

OSV-Scanner 也可以用于扫描 Debian 镜像中已安装的包，找出其中的漏洞：$ osv-scanner --docker image_name:latest。这需要安装 docker，并且目前不扫描 docker 容器的文件系统。关于这项预览功能的更多细节可以在GitHub Issue中找到。

OSV-Scanner 可以被配置为根据漏洞 ID 来忽略漏洞，在配置时还可以可选地提供忽略的到期日期和原因。忽略的漏洞通过 IgnoreVulns 键来指定。

[[IgnoredVulns]]
id = "GO-2022-0968"
# ignoreUntil = 2022-11-09 
reason = "No ssh servers are connected to or hosted in Go lang"

OSV-Scanner 也被集成到OpensSSF Scorecard的漏洞检测中。Scorecard 是一种自动化的安全工具，用于识别开源项目中有风险的供应链。因为集成了 OSV-Scanner，Scorecard 的能力得到了扩展，可以扫描项目本身的漏洞和项目依赖项中的漏洞。

谷歌软件工程师Rex Pan分享了 OSV-Scanner 后续的一些细节。该团队打算提供一个独立的 CI 操作，以便可以进一步与工作流集成。Pan 说，他们希望通过“向 CVE 添加精确的提交级元数据来构建一个高质量的 C/C++漏洞数据库”，以此来改进对 C 和 C++的支持。

OSV-Scanner 基于Apache License 2.0发行许可，代码托管在GitHub上。关于这个项目的更多细节可以在发布博文中找到。

原文链接：

https://www.infoq.com/news/2022/12/google-osv-scanner/