AI 年度盘点与2025发展趋势展望,50+案例解析亮相AICon 了解详情
写点什么

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

  • 2022-12-15
    北京
  • 本文字数:715 字

    阅读完需:约 2 分钟

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

近日,谷歌本发布了开源漏洞扫描器 OSV-Scanner。OSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。

 

GitHub 地址:

https://github.com/google/osv-scanner

 

谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV.dev 服务,而 OSV-Scanner 则是 OSV 数据库的下一步。开源分布式数据库 OSV.dev 拥有 3.8 万个共建者,支持 16 个生态系统,包括所有主要语言、Linux 发行版(Debian 和 Alpine)、安卓、Linux 内核和 OSS-Fuzz。

 


扫描仪的原理是利用从 OSV.dev 数据库中提取的数据,来识别一个项目的所有横向依赖关系同时突出相关的漏洞。用户在项目中运行 OSV-Scanner 时,OSV-Scanner 将首先通过分析清单、SBOM 和提交哈希找到所有正在使用的传递依赖项。然后,扫描器将此信息与 OSV 数据库连接起来,并显示与用户项目相关的漏洞。

 

“审查数以千计的依赖关系不是开发人员可以自己完成的。”谷歌开源安全团队软件工程师Rex Pan 在发布的博文中说道。根据官方介绍,与闭源漏洞数据库和扫描器相比,OSV-Scanner 主要有以下优势:

 

  • 每个咨询都有一个开放和权威的来源(例如 RustSec 咨询数据库)。

  • 任何人都可以对咨询提出改进建议,从而得到一个超高质量的数据库。

  • OSV 格式以机器可读的格式明确存储受影响版本的信息,并精确映射到开发人员的软件包列表上。

  • 更少、更可操作的漏洞通知,减少了企业解决漏洞所需的时间。

 

对于 OSV-Scanner 的未来, Pan 介绍道,团队首先是通过提供独立的 CI 操作进一步与开发人员工作流集成,允许轻松设置和安排以跟踪新漏洞。团队还将持续改进 C/C++ 漏洞(由于缺乏标准包管理器而面临的挑战)、为 OSV-Scanner 添加独特的功能、提供 VEX 支持等。

2022-12-15 17:573629

评论

发布
暂无评论
发现更多内容

永洪BI、瓴羊Quick BI领衔国产BI工具

巷子

批量上传iOS应用程序截图的实用技巧

雪奈椰子

软件测试/测试开发丨在Docker 上搭建持续集成平台 Jenkins

测试人

软件测试 自动化测试 测试开发

面试造火箭?GitHub飙升“2023(Java 岗)面试真题汇总”转载40万

三十而立

Java java面试

解决90%面试问题!GitHub顶级"Java面试手册"了解下八股文天花板

三十而立

Java java面试

模型驱动软件开发 打造企业数字化未来

力软低代码开发平台

百度安全助力小度智能屏通过中国泰尔实验室适老化技术测试认定

百度安全

智能硬件

阿里云高级技术专家林立翔:基于阿里云弹性GPU服务的神龙AI加速引擎,无缝提升AI训练性能

云布道师

阿里云 AI

GPT-4写代码能力提升21%!MIT新方法让LLM学会反思,网友:和人类的思考方式一样

Openlab_cosmoplat

机器学习 开源社区 智能 ChatGPT GPT-4

MobTech|如何选择应用内广告SDK产品

MobTech袤博科技

低代码开发:助力企业高效实现数字转型的一大利器

加入高科技仿生人

大数据 低代码 数字化 数字转型

从GPT-4、文心一言再到Copilot,AIGC卷出新赛道?

引迈信息

微软 AIGC 文心一言 GPT-4

智慧公厕:未来城市的必备设施

光明源智慧厕所

物联网 智慧城市

ADDS-DepthNet:基于域分离的全天图像自监督单目深度估计

飞桨PaddlePaddle

山东大学-飞桨人工智能教育创新中心正式挂牌,打造区域产教融合新范式

飞桨PaddlePaddle

中康科技黄毅宁:AI+医疗,于我而言是圆梦

飞桨PaddlePaddle

华为昇思MindSpore开源社区三周年生日会,三大亮点不容错过!

Geek_2d6073

两项大奖加持,浩鲸科技福利小店-WHALE SELECT

鲸品堂

福利 平台 平台搭建 企业号 3 月 PK 榜

币安/欧意合约自动跟单软件开发源代码

开发v-hkkf5566

游戏版《西部世界》来了!NPC全由AI操控,行动自如有理想和记忆,基于最新GAEA技术系统打造

Openlab_cosmoplat

AI 游戏 开源社区

合约跟单项目系统开发(技术源码)丨合约量化系统开发技术(成熟案例)

I8O28578624

TitanIDE:云原生开发到底强在哪里?

行云创新

ide 云原生 云开发

如何高效搭建资产管理平台?众安科技告诉你答案是图技术

NebulaGraph

图数据库

数据库领域3月大事件

NineData

数据库 云计算

黄牛党“屯购”OPPO Find X6 无感验证护航官方商城安全

Geek_2d6073

git客户端软件:Sublime Merge 激活版

真大的脸盆

Mac Mac 软件 Git客户端

关于 MyBatis 我总结了 10 种通用的写法

三十而立

Java mybatis

任务卷轴模式系统开发NFT技术

薇電13242772558

系统

百图生科AIGP平台发布:提供多种蛋白质生成能力,邀伙伴联手开发“新物种”

硬科技星球

质量内建落地的四要素

老张

质量保障 质量内建 交付质量

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner_开源_褚杏娟_InfoQ精选文章