Google только что запустила новый инструмент под названием OSV-Scanner, бесплатный инструмент с открытым исходным кодом, который, по ее словам, дает разработчикам легкий доступ к информации об уязвимостях, относящейся к их проекту.
В 2021 году Google запустила сервис OSV.dev, распределенную базу данных уязвимостей с открытым исходным кодом, позволяющую различным экосистемам с открытым исходным кодом и базам данных уязвимостей публиковать и использовать информацию в одном машиночитаемом формате.
Согласно Google, OSV-Scanner теперь предоставляет официально поддерживаемый интерфейс для этой базы данных OSV, который связывает список зависимостей проекта с уязвимостями, которые на них влияют.
Что еще это предлагает?
OSV-Scanner, по-видимому, интегрирован в проверку уязвимостей Scorecard OpenSSF, что означает, что он сможет расширить анализ не только прямых уязвимостей проекта, но и включить уязвимости во всех его зависимостях.
Поскольку проекты программного обеспечения часто включают в себя множество сторонних зависимостей, происходящих из внешних библиотек программного обеспечения, и слишком много разных версий, чтобы отслеживать их вручную, по мнению Google, автоматизация будет полезна для обеспечения безопасности.
Кроме того, все рекомендации по уязвимостям поступают из «открытого и авторитетного источника», например, из базы данных рекомендаций RustSec.
Google говорит, что любой может предложить улучшения для рекомендаций, в результате чего база данных будет очень высокого качества.
Если вы хотите попробовать OSV-Scanner, вы можете посетить Веб-сайт (откроется в новой вкладке) и следуйте инструкциям, или прочитайте Руководство по GitHub (откроется в новой вкладке).
Неудивительно, что Google стремится вкладывать ресурсы в Open Source Security, уязвимости с открытым исходным кодом остаются ключевой точкой для проникновения хакеров в системы.
Фактически, отчет компании по кибербезопасности Snyk совместно с Linux Foundation показал, что две из пяти (41%) фирм не уверены в безопасности своего открытого исходного кода.
Это отсутствие доверия во многих случаях препятствует внедрению технологии: количество компаний, готовых развернуть программное обеспечение с открытым исходным кодом в своих производственных средах, фактически сократилось на 5%, с 95% в 2021 году до 90% в этом году.
- Заинтересованы в безопасности в Интернете? Ознакомьтесь с нашим руководством по лучшим брандмауэрам