Google запускает новый инструмент сканирования безопасности с открытым исходным кодом

Google запускает новый инструмент сканирования безопасности с открытым исходным кодом

15 декабря 2022 г.

Компания Google только что выпустила новый бесплатный инструмент OSV-Scanner с с открытым исходным кодом. в нем говорится, что разработчики получают легкий доступ к информации об уязвимостях, относящейся к их проекту.

В 2021 году Google запустила сервис OSV.dev, распределенную базу данных уязвимостей с открытым исходным кодом, позволяющую создавать различные экосистемы с открытым исходным кодом и уязвимости. базы данных для публикации и использования информации в одном машиночитаемом формате.

По данным Google, OSV-Scanner теперь предоставляет официально поддерживаемый интерфейс для этой базы данных OSV, который связывает список зависимостей проекта с уязвимостями, которые повлиять на них.

Что еще это предлагает?

OSV-Scanner, по-видимому, интегрирован в систему проверки уязвимостей Scorecard OpenSSF, что означает, что он сможет расширить анализ не только прямых уязвимостей проекта, но и включить уязвимости во всех его зависимостях.

Поскольку проекты программного обеспечения часто включают в себя множество сторонних зависимостей, происходящих из внешних библиотек программного обеспечения, и слишком много разных версий, чтобы отслеживать их вручную, по мнению Google, автоматизация будет полезна для обеспечения безопасности.

Кроме того, все рекомендации по уязвимостям поступают из «открытого и авторитетного источника», например из базы данных RustSec Advisory.

Google говорит, что любой может предложить улучшения рекомендаций, что приведет к очень качественная база данных.

Если вы хотите попробовать OSV-Scanner, вы можете перейти по адресу веб-сайт и следуйте инструкциям или прочтите руководство GitHub.< /p>

ПОДРОБНЕЕ:

> Google поддерживает призыв к ужесточению безопасности с открытым исходным кодом в последствия Log4j

> Этот популярный веб-сервер с открытым исходным кодом имеет серьезные недостатки в системе безопасности

> Наше руководство по лучшим инструментам для удаления вредоносных программ 

Неудивительно, что Google стремится вкладывать ресурсы в Open Source Security, уязвимости с открытым исходным кодом остаются ключевым конечная точка , позволяющая хакерам проникнуть в системы.

На самом деле это отчет компании Snyk, занимающейся кибербезопасностью, совместно с Linux Foundation обнаружил, что две из пяти (41%) фирм фактически упал на 5 %, с 95 % в 2021 году до 90 % в этом году.

  • Заинтересованы в безопасности в Интернете? Ознакомьтесь с нашим руководством по лучшим брандмауэрам
.
Оригинал