Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Projet OSV – Votre allié pour débusquer et collecter les vulnérabilités

@  — 

Que vous soyez chercheur en sécurité ou développeur, vous savez sans doute à quel point il est important de maintenir votre code et vos dépendances à jour afin d’éviter au max les vulnérabilités. Sauf que voilà, c’est super galère, notamment quand le projet utilise de nombreuses libs externes.

Bref, pour vous aider, il y a OSV pour Open Source Vulnerabilities. Il s’agit d’un projet qui vous permettra de manipuler et trouver facilement toutes les vulnérabilités connues qui se cachent vos dépendances open source.

Le projet se compose de services comme ce site web, une API ou encore des outils d’analyses capables d’agréger, et indexer les données concernant les vulns… et également d’une base de données ouverte utilisant un format de données dédiées aux vulnérabilités.

Ce schéma OSV est super facile a intégrer et à utiliser et vient comme ça remédier à de nombreux problèmes liés aux vulnérabilités dans les logiciels open source. Ainsi, vous ne le savez peut-être pas, mais des bases de données de vulnérabilités comme GitHub Security Advisories, PyPA, RustSec…etc. utilisent ce schéma OSV.

Si vous voulez voir un exemple réel de ce format JSON, cliquez ici.

{
  "schema_version": "1.3.0",
  "id": "GHSA-c3g4-w6cv-6v7h",
  "modified": "2022-04-01T13:56:42Z",
  "published": "2022-04-01T13:56:42Z",
  "aliases": [ "CVE-2022-27651" ],
  "summary": "Non-empty default inheritable capabilities for linux container in Buildah",
  "details": "A bug was found in Buildah where containers were created ...",
  "affected": [
    {
      "package": {
        "ecosystem": "Go",
        "name": "github.com/containers/buildah"
      },
      "ranges": [
        {
          "type": "SEMVER",
          "events": [
            {
              "introduced": "0"
            },
            {
              "fixed": "1.25.0"
            }
          ]
        }
      ]
    }
  ],
  "references": [
    {
      "type": "WEB",
      "url": "https://github.com/containers/buildah/commit/..."
    },
    {
      "type": "PACKAGE",
      "url": "https://github.com/containers/buildah"
    }
  ]
}

Pour installer le scanner de vulnérabilités d’OSV, ouvrez un terminal et lancez la commande d’install en Go suivante : 

go install github.com/google/osv-scanner/cmd/[email protected]

Après pour scanner du code, lancez l’outil comme ceci : 

osv-scanner -r /repertoire

Vous aurez plus d’infos sur le scanner ici sur Github.

Bref, c’est un projet super utile, que ce soit pour scanner vos propres projets, faire de l’analyse ou tout simplement créer votre propre base de vulns maison, sans avoir à réinventer la roue. En rendant votre base de données disponible au format OSV, vous permettrez à d’autres personnes de l’utiliser, de contribuer ou mutualiser la donnée.

Merci à Letsar pour le partage !

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Partenaire

Les articles du moment