Google запускает новый инструмент сканирования безопасности с открытым исходным кодом
15 декабря 2022 г.Компания Google только что выпустила новый бесплатный инструмент OSV-Scanner с с открытым исходным кодом. в нем говорится, что разработчики получают легкий доступ к информации об уязвимостях, относящейся к их проекту.
В 2021 году Google запустила сервис OSV.dev, распределенную базу данных уязвимостей с открытым исходным кодом, позволяющую создавать различные экосистемы с открытым исходным кодом и уязвимости. базы данных для публикации и использования информации в одном машиночитаемом формате.
По данным Google, OSV-Scanner теперь предоставляет официально поддерживаемый интерфейс для этой базы данных OSV, который связывает список зависимостей проекта с уязвимостями, которые повлиять на них.
Что еще это предлагает?
OSV-Scanner, по-видимому, интегрирован в систему проверки уязвимостей Scorecard OpenSSF, что означает, что он сможет расширить анализ не только прямых уязвимостей проекта, но и включить уязвимости во всех его зависимостях.
Поскольку проекты программного обеспечения часто включают в себя множество сторонних зависимостей, происходящих из внешних библиотек программного обеспечения, и слишком много разных версий, чтобы отслеживать их вручную, по мнению Google, автоматизация будет полезна для обеспечения безопасности.
Кроме того, все рекомендации по уязвимостям поступают из «открытого и авторитетного источника», например из базы данных RustSec Advisory.
Google говорит, что любой может предложить улучшения рекомендаций, что приведет к очень качественная база данных.
Если вы хотите попробовать OSV-Scanner, вы можете перейти по адресу веб-сайт и следуйте инструкциям или прочтите руководство GitHub.< /p>
> Google поддерживает призыв к ужесточению безопасности с открытым исходным кодом в последствия Log4j
> Наше руководство по лучшим инструментам для удаления вредоносных программ
дел>дел>Неудивительно, что Google стремится вкладывать ресурсы в Open Source Security, уязвимости с открытым исходным кодом остаются ключевым конечная точка , позволяющая хакерам проникнуть в системы.
На самом деле это отчет компании Snyk, занимающейся кибербезопасностью, совместно с Linux Foundation обнаружил, что две из пяти (41%) фирм фактически упал на 5 %, с 95 % в 2021 году до 90 % в этом году.
- Заинтересованы в безопасности в Интернете? Ознакомьтесь с нашим руководством по лучшим брандмауэрам
Оригинал