Projet OSV – Votre allié pour débusquer et collecter les vulnérabilités

@Korben — 4 février 2023

Que vous soyez chercheur en sécurité ou développeur, vous savez sans doute à quel point il est important de maintenir votre code et vos dépendances à jour afin d’éviter au max les vulnérabilités. Sauf que voilà, c’est super galère, notamment quand le projet utilise de nombreuses libs externes.

Bref, pour vous aider, il y a OSV pour Open Source Vulnerabilities. Il s’agit d’un projet qui vous permettra de manipuler et trouver facilement toutes les vulnérabilités connues qui se cachent vos dépendances open source.

Le projet se compose de services comme ce site web, une API ou encore des outils d’analyses capables d’agréger, et indexer les données concernant les vulns… et également d’une base de données ouverte utilisant un format de données dédiées aux vulnérabilités.

Ce schéma OSV est super facile a intégrer et à utiliser et vient comme ça remédier à de nombreux problèmes liés aux vulnérabilités dans les logiciels open source. Ainsi, vous ne le savez peut-être pas, mais des bases de données de vulnérabilités comme GitHub Security Advisories, PyPA, RustSec…etc. utilisent ce schéma OSV.

Si vous voulez voir un exemple réel de ce format JSON, cliquez ici.

{
  "schema_version": "1.3.0",
  "id": "GHSA-c3g4-w6cv-6v7h",
  "modified": "2022-04-01T13:56:42Z",
  "published": "2022-04-01T13:56:42Z",
  "aliases": [ "CVE-2022-27651" ],
  "summary": "Non-empty default inheritable capabilities for linux container in Buildah",
  "details": "A bug was found in Buildah where containers were created ...",
  "affected": [
    {
      "package": {
        "ecosystem": "Go",
        "name": "github.com/containers/buildah"
      },
      "ranges": [
        {
          "type": "SEMVER",
          "events": [
            {
              "introduced": "0"
            },
            {
              "fixed": "1.25.0"
            }
          ]
        }
      ]
    }
  ],
  "references": [
    {
      "type": "WEB",
      "url": "https://github.com/containers/buildah/commit/..."
    },
    {
      "type": "PACKAGE",
      "url": "https://github.com/containers/buildah"
    }
  ]
}

Pour installer le scanner de vulnérabilités d’OSV, ouvrez un terminal et lancez la commande d’install en Go suivante :

go install github.com/google/osv-scanner/cmd/osv-scanner@v1

Après pour scanner du code, lancez l’outil comme ceci :

osv-scanner -r /repertoire

Vous aurez plus d’infos sur le scanner ici sur Github.

Bref, c’est un projet super utile, que ce soit pour scanner vos propres projets, faire de l’analyse ou tout simplement créer votre propre base de vulns maison, sans avoir à réinventer la roue. En rendant votre base de données disponible au format OSV, vous permettrez à d’autres personnes de l’utiliser, de contribuer ou mutualiser la donnée.

Merci à Letsar pour le partage !

Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Lien sponsorisé

Sécurité

Des idées pour vos menus (+ 10 € de réduction sur vos prochaines courses)

Jow est une application iOS et Android ainsi qu’un site web, qui propose des menus délicieux et rapide à réaliser. L’application se connecte à votre magasin préféré (Carrefour, Auchan, E. Leclerc…etc.) et génère la liste de vos courses tout en vous proposant des réductions.

Jow c’est top si :

Vous cherchez sans cesse des idées de menu
Vous voulez gagner du temps avec vos courses
Vous souhaitez manger plus équilibré
Vous voulez éviter le gâchis alimentaire
Vous aimez vous partager des photos de vos créations culinaires sur les réseaux

10 € de réduction sur vos prochaines courses

Et comme une bonne nouvelle n’arrive jamais seule, si vous créez votre compte sur Jow en passant par ce lien, vous profiterez de 10 € de réduction sur vos courses avec ce code promo :