10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

  • 2022-12-15
    北京
  • 本文字数:715 字

    阅读完需:约 2 分钟

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

近日,谷歌本发布了开源漏洞扫描器 OSV-Scanner。OSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。

 

GitHub 地址:

https://github.com/google/osv-scanner

 

谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV.dev 服务,而 OSV-Scanner 则是 OSV 数据库的下一步。开源分布式数据库 OSV.dev 拥有 3.8 万个共建者,支持 16 个生态系统,包括所有主要语言、Linux 发行版(Debian 和 Alpine)、安卓、Linux 内核和 OSS-Fuzz。

 


扫描仪的原理是利用从 OSV.dev 数据库中提取的数据,来识别一个项目的所有横向依赖关系同时突出相关的漏洞。用户在项目中运行 OSV-Scanner 时,OSV-Scanner 将首先通过分析清单、SBOM 和提交哈希找到所有正在使用的传递依赖项。然后,扫描器将此信息与 OSV 数据库连接起来,并显示与用户项目相关的漏洞。

 

“审查数以千计的依赖关系不是开发人员可以自己完成的。”谷歌开源安全团队软件工程师Rex Pan 在发布的博文中说道。根据官方介绍,与闭源漏洞数据库和扫描器相比,OSV-Scanner 主要有以下优势:

 

  • 每个咨询都有一个开放和权威的来源(例如 RustSec 咨询数据库)。

  • 任何人都可以对咨询提出改进建议,从而得到一个超高质量的数据库。

  • OSV 格式以机器可读的格式明确存储受影响版本的信息,并精确映射到开发人员的软件包列表上。

  • 更少、更可操作的漏洞通知,减少了企业解决漏洞所需的时间。

 

对于 OSV-Scanner 的未来, Pan 介绍道,团队首先是通过提供独立的 CI 操作进一步与开发人员工作流集成,允许轻松设置和安排以跟踪新漏洞。团队还将持续改进 C/C++ 漏洞(由于缺乏标准包管理器而面临的挑战)、为 OSV-Scanner 添加独特的功能、提供 VEX 支持等。

2022-12-15 17:573864

评论

发布
暂无评论
发现更多内容

快速记笔记软件SideNotes for mac 1.4.15激活版

小玖_苹果Mac软件

Capture One 23 Pro for Mac专业RAW照片处理利器

小玖_苹果Mac软件

鸿蒙+next+封装轻量级缓存工具PreferencesUtil

flfljh

不愧是字节跳动,今年这薪资...属实羡慕了!

程序员高级码农

Java 程序员 java面试 字节 Java面试题

鸿蒙Flutter性能调优之性能分析定界

flfljh

2024年用户喜爱的Top5云电脑排名!没想到黑马是这家

三掌柜

测评对比

优化永不止步:TinyVue v3.20.0 正式发布,更美观的官网UI,更友好的文档搜索,更强大的主题配置能力~

OpenTiny社区

组件库 OpenTiny 前端开源

CosyVoice 2.0 支持双向流式语音合成;无问芯穹开源全模态理解端侧模型丨RTE 开发者日报

声网

【教程】任务管理(高级)打造完整的项目管理平台

NocoBase

开源 项目管理 低代码 教程 任务管理

产品经理怎么进行用户画像分析?这10个模板案例别错过!

职场工具箱

产品经理 办公软件 AIGC 用户画像分析 绘图软件

Ableton Live 11 Suite for Mac 强大的音乐创作与表演工具

小玖_苹果Mac软件

被裁后,狂刷大牛分享的607页JUC源码分析笔记,立马拿蚂蚁offer

程序员高级码农

Java 源码 程序员 java面试 Java后端

OmniPlan Pro 4 for Mac:强大的项目管理工具

小玖_苹果Mac软件

关键帧动画

flfljh

HarmonyOS NEXT基础入门

flfljh

鸿蒙Flutter怎样调试dart代码

flfljh

非凸科技荣获2024“创·在上海”国际创新创业大赛优胜企业奖

非凸科技

【HarmonyOS NEXT】ArkTs数据类型解析与使用

冉冉同学

鸿蒙 HarmonyOS 鸿蒙应用开发 鸿蒙原生应用开发 HarmonyOS NEXT

Bartender 5 for Mac智能管理菜单栏的神器

小玖_苹果Mac软件

【HarmonyOS NEXT】ArkTs函数、类、接口、泛型、装饰器解析与使用

冉冉同学

鸿蒙 HarmonyOS 鸿蒙应用开发 鸿蒙原生应用开发 HarmonyOS NEXT

职场办公常用的5款AI软件,每一个都值得推荐!

职场工具箱

效率工具 办公软件 AI软件 AIGC AI生成PPT

如何成功养成一个TikTok账号?

Ogcloud

TikTok tiktok运营 TikTok养号 tiktok起号

出海电商的关键:原生IP的重要性解析

Ogcloud

海外原生IP 海外IP 海外直播IP 原生IP 海外IP代理

鸿蒙Flutter环境相关问题解决方法

flfljh

鸿蒙基础入门01

flfljh

江苏省推出人工智能通识课,和鲸Heywhale重磅上线课程+平台+资源一体化解决方案

ModelWhale

Python 人工智能 大数据 AI

观测云亮相 Doris Summit,展示流式聚合创新技术

观测云

数据库性能优化

如何理解符号引用和直接引用?

王磊

火爆Boss直聘的百页SpringBoot原理实战+面试题助你狂拿千份offer

程序员高级码农

Java 编程 程序员 java面试 Java面试题

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner_开源_褚杏娟_InfoQ精选文章