Google推出免費工具OSV-Scanner,供開源開發人員可以更簡單地存取和專案相關的漏洞資訊。
去年Google發布開源漏洞(Open Source Vulnerability)架構並且啟動OSV.dev服務,完成第一個分散式開源漏洞資料庫,官方解釋,OSV允許不同的開源生態系和漏洞資料庫,能夠以一種簡單、精確且機器可讀的格式發布和使用資訊。
而OSV-Scanner則是OSV資料庫的下一步,這是由官方支援的前端,能夠將專案的相依項目列表,和影響專案的漏洞相關聯。由於軟體專案通常擁有大量的相依項目,而每個相依項目可能包含現有已知的漏洞,或是尚待發現的新漏洞,但因為相依項目和版本太多,開發人員通常難以手動追蹤,因此需要自動化來解決這項困難。
OSV-Scanner會自動比對專案相依項目和已知漏洞列表,並於存在修補程式或是更新時通知開發者,Google提到,OSV-Scanner能夠生成可靠、高品質的漏洞資訊,以縮小開發人員軟體套件列表和OSV資料庫中的漏洞資訊落差。
由於OSV-Scanner使用開源分散式OSV.dev資料庫,因此官方提到,OSV-Scanner與閉源資料庫的掃瞄器相比更具優勢,包括每個安全通報都是來自開放且權威的來源,所有人都可以提出改進建議,因此能夠共同維護高品質資料庫,而且OSV格式以機器可讀的格式,儲存有關受影響的套件版本資訊,該格式能精確地對應到開發者的軟體套件列表。
OSV-Scanner會先分析清單、SBOM並提交雜湊值,找到所有正在使用的遞移相依項目,接著OSV-Scanner會將該資訊和OSV資料庫進行比對,以顯示開發者專案相關的漏洞。同時OSV-Scanner還整合到OpenSSF計分卡漏洞檢查,可將漏洞分析從專案的直接漏洞,擴及所有相依項目漏洞,代表採用OpenSSF計分卡的專案能夠獲得更全面的安全檢查。
熱門新聞
2024-04-29
2024-04-29
2024-04-30
2024-04-30
2024-04-28
2024-04-29
2024-04-29
