AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

  • 2022-12-15
    北京
  • 本文字数:715 字

    阅读完需:约 2 分钟

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

近日,谷歌本发布了开源漏洞扫描器 OSV-Scanner。OSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。

 

GitHub 地址:

https://github.com/google/osv-scanner

 

谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV.dev 服务,而 OSV-Scanner 则是 OSV 数据库的下一步。开源分布式数据库 OSV.dev 拥有 3.8 万个共建者,支持 16 个生态系统,包括所有主要语言、Linux 发行版(Debian 和 Alpine)、安卓、Linux 内核和 OSS-Fuzz。

 


扫描仪的原理是利用从 OSV.dev 数据库中提取的数据,来识别一个项目的所有横向依赖关系同时突出相关的漏洞。用户在项目中运行 OSV-Scanner 时,OSV-Scanner 将首先通过分析清单、SBOM 和提交哈希找到所有正在使用的传递依赖项。然后,扫描器将此信息与 OSV 数据库连接起来,并显示与用户项目相关的漏洞。

 

“审查数以千计的依赖关系不是开发人员可以自己完成的。”谷歌开源安全团队软件工程师Rex Pan 在发布的博文中说道。根据官方介绍,与闭源漏洞数据库和扫描器相比,OSV-Scanner 主要有以下优势:

 

  • 每个咨询都有一个开放和权威的来源(例如 RustSec 咨询数据库)。

  • 任何人都可以对咨询提出改进建议,从而得到一个超高质量的数据库。

  • OSV 格式以机器可读的格式明确存储受影响版本的信息,并精确映射到开发人员的软件包列表上。

  • 更少、更可操作的漏洞通知,减少了企业解决漏洞所需的时间。

 

对于 OSV-Scanner 的未来, Pan 介绍道,团队首先是通过提供独立的 CI 操作进一步与开发人员工作流集成,允许轻松设置和安排以跟踪新漏洞。团队还将持续改进 C/C++ 漏洞(由于缺乏标准包管理器而面临的挑战)、为 OSV-Scanner 添加独特的功能、提供 VEX 支持等。

2022-12-15 17:573755

评论

发布
暂无评论
发现更多内容

TVL突破 4 亿美元,Pencils Protocol 或将持续登录头部CEX3

西柚子

AI练中学,你的 AI 助教又升级啦!

TRAE

在研发度量中,如何为非技术型领导提供信息?

思码逸研发效能

DevOps 研发效能 研发效能度量 研发效能管理

11月23-24日“企业级敏捷教练课程”—— CSP-SM认证培训开班啦!

ShineScrum

一文搞懂SaaS应用架构:应用服务、应用结构、应用交互设计

不在线第一只蜗牛

架构 SaaS

鸿蒙迎来有史以来最大升级,生态发展一日千里

这不科技

TVL突破 4 亿美元,Pencils Protocol 或将持续登录头部CEX

加密眼界

设计模式进一步解读

邱学喆

设计模式 设计原则 中间类

Smart Image Cropping API:图像裁剪自动化解决方案

幂简集成

API API 接口

背靠超70万用户,Pencils Protocol 或将持续登录顶级CEX

BlockChain先知

海量大模型如何一键部署上云?函数计算 x ModelScope 社区给出答案

阿里巴巴云原生

阿里云 云原生 函数计算

为什么mac打不开rar文件 苹果电脑打不开rar压缩文件怎么办

阿拉灯神丁

压缩工具 解压软件 苹果电脑解压缩 压缩和解压缩工具 BetterZip 5下载

重磅!望繁信科技与德勤中国签署战略合作协议

望繁信科技

数字化转型 流程挖掘 流程资产 流程智能 数字北极星

TVL突破 4 亿美元,Pencils Protocol 或将持续登录头部CEX

股市老人

《使用Gin框架构建分布式应用》阅读笔记:p108-p126

codists

Go gin 编程人

04.原型模式设计思想

杨充

TVL突破 4 亿美元,Pencils Protocol 或将持续登录头部CEX

石头财经

软件测试学习笔记丨Selenium浏览器的操作者driver

测试人

软件测试

ETLCloud+Doris组合:数据集成,更简单更高效

RestCloud

数据库 Doris ETL 数据集成

广东传媒行业先锋沙龙:携手华为云,共谋数智媒体发展大格局

极客天地

端口频繁遭遇攻击,又该如何应对?

网络安全服务

防火墙 服务器 DDoS 端口 DDoS 攻击

华为云RDS for MySQL数据库助力秒音数智化转型,引领社交电商新风尚

YG科技

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner_开源_褚杏娟_InfoQ精选文章