【AICon】硅谷视野+中国实践,汇聚全球顶尖技术的 AI 科技盛会 >>> 了解详情
写点什么

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

  • 2022-12-15
    北京
  • 本文字数:715 字

    阅读完需:约 2 分钟

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

近日,谷歌本发布了开源漏洞扫描器 OSV-Scanner。OSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。

 

GitHub 地址:

https://github.com/google/osv-scanner

 

谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV.dev 服务,而 OSV-Scanner 则是 OSV 数据库的下一步。开源分布式数据库 OSV.dev 拥有 3.8 万个共建者,支持 16 个生态系统,包括所有主要语言、Linux 发行版(Debian 和 Alpine)、安卓、Linux 内核和 OSS-Fuzz。

 


扫描仪的原理是利用从 OSV.dev 数据库中提取的数据,来识别一个项目的所有横向依赖关系同时突出相关的漏洞。用户在项目中运行 OSV-Scanner 时,OSV-Scanner 将首先通过分析清单、SBOM 和提交哈希找到所有正在使用的传递依赖项。然后,扫描器将此信息与 OSV 数据库连接起来,并显示与用户项目相关的漏洞。

 

“审查数以千计的依赖关系不是开发人员可以自己完成的。”谷歌开源安全团队软件工程师Rex Pan 在发布的博文中说道。根据官方介绍,与闭源漏洞数据库和扫描器相比,OSV-Scanner 主要有以下优势:

 

  • 每个咨询都有一个开放和权威的来源(例如 RustSec 咨询数据库)。

  • 任何人都可以对咨询提出改进建议,从而得到一个超高质量的数据库。

  • OSV 格式以机器可读的格式明确存储受影响版本的信息,并精确映射到开发人员的软件包列表上。

  • 更少、更可操作的漏洞通知,减少了企业解决漏洞所需的时间。

 

对于 OSV-Scanner 的未来, Pan 介绍道,团队首先是通过提供独立的 CI 操作进一步与开发人员工作流集成,允许轻松设置和安排以跟踪新漏洞。团队还将持续改进 C/C++ 漏洞(由于缺乏标准包管理器而面临的挑战)、为 OSV-Scanner 添加独特的功能、提供 VEX 支持等。

2022-12-15 17:573458

评论

发布
暂无评论
发现更多内容

史上最通俗Netty入门长文:基本介绍、环境搭建、动手实战

JackJiang

网络编程 Netty nio 即时通讯 IM

懵了!一口气问了我18个JVM问题!

yes

面试 JVM

nginx 平滑升级、以及导入第三方模块

sinsy

nginx 升级

学习笔记:架构师训练营-第八周

四夕晖

架构师训练营 -week09-总结

大刘忙

极客大学架构师训练营

读谱对吉他手来说重要吗?试试它提升你的读谱效率

奈奈的杂社

学习 编曲 打谱

C++调用Go方法的字符串传递问题及解决方案

华为云开发者联盟

c++ 内存 代码

这4个Java异常框架,很多人竟然还不知道

比伯

Java 编程 架构 面试 计算机

架构师训练营 -week09-作业

大刘忙

极客大学架构师训练营

深圳区块链钱包系统开发,区块链钱包app源码

13530558032

阿里P8大牛整理的300页图解网络知识+计算机底层操作系统

Java架构之路

Java 编程 程序员 架构 面试

《深入理解java虚拟机》- java内存区域

never say never

JVM笔记 堆内存

在Codurance是如何面试技术人员的

sherlockq

面试 TDD

高承实:区块链的工业革命带来了什么?

CECBC

区块链 分布式

国网浙江建设公司推进“信用基建+区块链”建设

CECBC

区块链 国网 基建

K3d vs Kind 谁更适合本地研发

郭旭东

Kubernetes k3s kind

来不及解释了,快上车!LR.NET开发平台助力企业信息互联

雯雯写代码

Java读取Excel/CSV格式的科学计数法问题

团子粑粑

Java Excel csv

区块链交易所软件,数字货币场外交易系统搭建

13530558032

爆火的低代码,到底是真需求还是伪风口?

ToB行业头条

低代码

微服务通信之feign的配置隔离

编程 微服务 计算机

区块链币支付系统开发搭建,USDT支付平台源码

13530558032

区块链IM即时社交通讯系统开发,区块链社交平台源码搭建

13530558032

7面阿里,最后一面居然挂在了JVM上面!狠下决心恶补JVM知识

Java架构之路

Java 程序员 架构 面试 编程语言

适用初学者的5种Python数据输入技术

华为云开发者联盟

Python 数据 函数

奋力准备一个月成功进字节,来看一下我都看了哪些资料做了哪些准备

小Q

学习 编程 程序员 架构 面试

vscode + vim : vscode 全键盘使用方案

lmymirror

vim vscode Spacemacs

为什么有的专科程序员比本科程序员薪资高?他们之间有多大的区别?

Java架构师迁哥

备战2021年金三银四,阿里P8面试官梳理的2020年999道大厂高频Java面试题(附答案)

Java架构之路

Java 编程 程序员 架构 面试

Android热修复之DexPatch介绍

阿里云金融线TAM SRE专家服务团队

android

数字货币引发的金融变革

CECBC

数字化时代

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner_开源_褚杏娟_InfoQ精选文章