10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

  • 2022-12-15
    北京
  • 本文字数:715 字

    阅读完需:约 2 分钟

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

近日,谷歌本发布了开源漏洞扫描器 OSV-Scanner。OSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。

 

GitHub 地址:

https://github.com/google/osv-scanner

 

谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV.dev 服务,而 OSV-Scanner 则是 OSV 数据库的下一步。开源分布式数据库 OSV.dev 拥有 3.8 万个共建者,支持 16 个生态系统,包括所有主要语言、Linux 发行版(Debian 和 Alpine)、安卓、Linux 内核和 OSS-Fuzz。

 


扫描仪的原理是利用从 OSV.dev 数据库中提取的数据,来识别一个项目的所有横向依赖关系同时突出相关的漏洞。用户在项目中运行 OSV-Scanner 时,OSV-Scanner 将首先通过分析清单、SBOM 和提交哈希找到所有正在使用的传递依赖项。然后,扫描器将此信息与 OSV 数据库连接起来,并显示与用户项目相关的漏洞。

 

“审查数以千计的依赖关系不是开发人员可以自己完成的。”谷歌开源安全团队软件工程师Rex Pan 在发布的博文中说道。根据官方介绍,与闭源漏洞数据库和扫描器相比,OSV-Scanner 主要有以下优势:

 

  • 每个咨询都有一个开放和权威的来源(例如 RustSec 咨询数据库)。

  • 任何人都可以对咨询提出改进建议,从而得到一个超高质量的数据库。

  • OSV 格式以机器可读的格式明确存储受影响版本的信息,并精确映射到开发人员的软件包列表上。

  • 更少、更可操作的漏洞通知,减少了企业解决漏洞所需的时间。

 

对于 OSV-Scanner 的未来, Pan 介绍道,团队首先是通过提供独立的 CI 操作进一步与开发人员工作流集成,允许轻松设置和安排以跟踪新漏洞。团队还将持续改进 C/C++ 漏洞(由于缺乏标准包管理器而面临的挑战)、为 OSV-Scanner 添加独特的功能、提供 VEX 支持等。

2022-12-15 17:573846

评论

发布
暂无评论
发现更多内容

模块3作业“学生管理系统”架构设计

王小森

如何实现高效联表查询

迹_Jason

Java MySQL redis 缓存 分布式

架构实战营模块 3 作业

zlz

Linux之killall命令

入门小站

Linux

学生管理系统详细架构设计

宁静志远

架构实战营

架构实战营 模块三 作业

三叔叔_拖延症晚期

架构实战营模块三作业

tt

架构实战营

Vue进阶(幺捌陆):异步请求导致页面数据渲染错误问题解决

No Silver Bullet

Vue 异步请求 7月日更 $set

OPPO小布助手算法系统的探索、实践与思考

OPPO小布助手

人工智能 深度学习 对话 智能助手 智能对话

深入浅出Node.js第一章阅读总结

Alex

JavaScript node.js

抖音引流获客APP系统开发

获客I3O6O643Z97

抖音霸屏 抖音、快手获客系统

架构实战营模块3作业

Morphling

#架构实战营

外包学生管理系统的架构

feitian

架构实战营 - 模块 3 - 作业

Vincent

#架构实战营

模块三作业

VE

架构实战营

模块三:学生管理系统架构详细设计

柱林

告别尴尬-找回MySQL数据库密码

龙眼果

MySQL

Python OpenCV 学习轻松点,复习一下模板匹配吧

梦想橡皮擦

Python 7月日更

悲剧!IDEA 突然找不到类了?

楼下小黑哥

Java 后端 IDEA

模块三:外包学生管理系统架构文档

Testcase

架构实战营

模块三作业

Mr.He

架构实战营

在线正则表达式大全测试

入门小站

架构实战营第一期 -- 模块三作业

clay

架构实战营

模块三 作业

SAKIN

【架构训练营】模块三作业

zclau

顶级高手改变模型|靠谱点评

无量靠谱

外包学生管理系统架构文档

tjudream

架构 架构文档 学生选课

外包学生管理系统的架构文档

木云先森

架构实战营

如何用Camtasia给视频添加字幕?

淋雨

视频剪辑 Camtasia 录屏软件

模块三-学生管理系统详细设计

绝影

架构训练营

测评EasyRecovery的数据恢复效果与多种功能

淋雨

EasyRecovery 文件恢复 硬盘数据恢复

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner_开源_褚杏娟_InfoQ精选文章