正式定档!QCon 北京站改期为2024年4月11-13日,地点:北京·国测国际会议会展中心 >>> 了解详情
写点什么

谷歌开源漏洞扫描工具 OSV-Scanner

  • 2023-01-19
    北京
  • 本文字数:1520 字

    阅读完需:约 5 分钟

谷歌开源漏洞扫描工具OSV-Scanner

谷歌发布OSV-Scanner,一款开源漏洞(Open Source Vulnerability,OSV)数据库前端接口。OSV 数据库是一个分布式开源数据库,通过 OSV 格式存储漏洞信息。OSV-Scanner 会基于 OSV 数据库评估项目的依赖项,显示与项目相关的所有漏洞。


在扫描项目时,OSV-Scanner 首先通过分析清单、软件材料清单(SBOM)和代码提交哈希值来确定正在使用的所有依赖项。这些信息用于查询 OSV 数据库,并报告与项目相关的漏洞。漏洞通过表格的形式或基于 JSON 的 OSV 格式(可选)进行报告。



OSV-Scanner 的漏洞扫描输出(来源


OSV格式提供了一种机器可读的 JSON 模式,用于表示漏洞信息。这种格式被用来加强与实际开源包中使用的命名和方案一致的版本规范。谷歌高级工程师Oliver Chang和谷歌杰出工程师Russ Cox表示,这种方法“可以用来描述任意开源生态系统中的漏洞,同时又不需要依赖生态系统的逻辑来处理它们。”


"schema_version": "1.3.0",  "id": "GHSA-c3g4-w6cv-6v7h",  "modified": "2022-04-01T13:56:42Z",  "published": "2022-04-01T13:56:42Z",  "aliases": [ "CVE-2022-27651" ],  "summary": "Non-empty default inheritable capabilities for linux container in Buildah",  "details": "A bug was found in Buildah where containers were created ...",  "affected": [    {      "package": {        "ecosystem": "Go",        "name": "github.com/containers/buildah"      },      "ranges": [        {          "type": "SEMVER",          "events": [            {              "introduced": "0"            },            {              "fixed": "1.25.0"            }          ]        }      ]    }  ],  "references": [    {      "type": "WEB",      "url": "https://github.com/containers/buildah/commit/..."    },    {      "type": "PACKAGE",      "url": "https://github.com/containers/buildah"    }  ]}
复制代码


使用命令 osv-scanner -r /path/to/your/dir 来扫描目录,找到 lockfiles、SBOM 和 git 目录。选项-r 用于进行递归扫描。目前支持使用 Package URL 的 SPDX 和 CycloneDX SBOM,也支持多种锁文件,包括 yarn.lock、composer.lock、go.mod 和 Gemfile.lock。


OSV-Scanner 也可以用于扫描 Debian 镜像中已安装的包,找出其中的漏洞:$ osv-scanner --docker image_name:latest。这需要安装 docker,并且目前不扫描 docker 容器的文件系统。关于这项预览功能的更多细节可以在GitHub Issue中找到。


OSV-Scanner 可以被配置为根据漏洞 ID 来忽略漏洞,在配置时还可以可选地提供忽略的到期日期和原因。忽略的漏洞通过 IgnoreVulns 键来指定。


[[IgnoredVulns]]id = "GO-2022-0968"# ignoreUntil = 2022-11-09 reason = "No ssh servers are connected to or hosted in Go lang"
复制代码


OSV-Scanner 也被集成到OpensSSF Scorecard的漏洞检测中。Scorecard 是一种自动化的安全工具,用于识别开源项目中有风险的供应链。因为集成了 OSV-Scanner,Scorecard 的能力得到了扩展,可以扫描项目本身的漏洞和项目依赖项中的漏洞。


谷歌软件工程师Rex Pan分享了 OSV-Scanner 后续的一些细节。该团队打算提供一个独立的 CI 操作,以便可以进一步与工作流集成。Pan 说,他们希望通过“向 CVE 添加精确的提交级元数据来构建一个高质量的 C/C++漏洞数据库”,以此来改进对 C 和 C++的支持。


OSV-Scanner 基于Apache License 2.0发行许可,代码托管在GitHub上。关于这个项目的更多细节可以在发布博文中找到。


原文链接

https://www.infoq.com/news/2022/12/google-osv-scanner/


相关阅读:

符号执行,从漏洞扫描到自动化生成测试用例

网络安全从业人员调查:漏洞扫描是最该被防范的安全问题

2023-01-19 08:0011460

评论

发布
暂无评论
发现更多内容

Oracle实时同步技术

RestCloud

oracle ETL CDC

终于搞明白ChatGPT是个什么玩意

Geek_ccdd7f

ChatGPT, FastGPT

评测10大比特币以太坊钱包排行,其中一款支持Ordinals协议

鳄鱼视界

3种Sentinel自定义异常,你用过几种?

王磊

Java

强大的照片编辑软件:ON1 Photo RAW 2024 中文最新版

mac大玩家j

Mac软件 图像处理工具 图像编辑软件

SQL DELETE 语句:删除表中记录的语法和示例,以及 SQL SELECT TOP、LIMIT、FETCH FIRST 或 ROWNUM 子句的使用

小万哥

MySQL 数据库 sql 程序员 后端开发

bitget钱包VS imtoken 钱包大比拼,全方面对比

石头财经

还记得常用数据库有哪些吗?

小齐写代码

提升JS编程效率:19个实用JS代码示例

南城FE

JavaScript 前端 代码质量 js 代码

通过AppLink把拼多多热门榜单商品同步至小红书

RestCloud

APPlink

LED Driver数码屏应用解决方案

攻城狮Wayne

搭个网页应用,让ChatGPT帮我写SQL

凌览

sql ChatGPT

赣锋锂业数字孪生系统上线,用友iuap筑牢技术护城河

用友BIP

评测10大比特币以太坊钱包排行,其中一款支持Ordinals协议

威廉META

3D-TrappingRainWater算法详解

九叔(高翔龙)

算法 3D接雨水

Python连接es笔记四之创建和删除操作

Hunter熊

Python elasticsearch Elasticsearch-dsl

【好用的mac文件管理软件】DEVONthink Pro for Mac,一体化知识管理利器

晴雯哥

概念回顾:API 管理与 API 网关

NGINX开源社区

api 网关 API 优先 API 蔓延 API 管理 API 开发者体验

Moho Pro 14 for Mac:专业2D动画创作利器,助力释放无限创意

晴雯哥

如期而至!WHLUG报名开启,11月26日(周日)不见不散!

nn-30

安全 打包 内核 打包工具 内核安全

IoTDB Summit,12 月 3 日北京等你 | 专属马克杯免费获得

Apache IoTDB

2024年10大比特币以太坊钱包排行测评推荐

股市老人

分享一款自己制作的实现可视化操作的代码生成器

LazyCoder

低代码 无代码平台 可视化软件 代码生成器 代码可视化

革新突破!智能指标平台引领时代,国产大模型与企业级部署的完美结合

Kyligence

Kyligence Zen 指标平台

智能会计,解锁业财融合难题

用友BIP

业财融合

Walrus 入门教程:如何创建模板以沉淀可复用的团队最佳实践

SEAL安全

阿里云 模板 Github' Walrus 企业号11月PK榜

2024年10大比特币以太坊钱包排行测评推荐

EOSdreamer111

bitget钱包和imtoken 钱包应该选择哪个?哪个更靠谱?

BlockChain先知

地奥集团大健康产业再添解酒黑科技:“酒必妥”!

联营汇聚

Mac电脑文稿演示软件推荐 ProPresenter 7激活中文版

胖墩儿不胖y

Mac软件 文稿工具

大带宽服务器如何提高业务性能?

Geek_f19a80

服务器

谷歌开源漏洞扫描工具OSV-Scanner_安全_Matt Campbell_InfoQ精选文章