Redian新闻
>
谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

公众号新闻

作者 | 褚杏娟

近日,谷歌本发布了开源漏洞扫描器 OSV-Scanner。OSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。

GitHub 地址:

https://github.com/google/osv-scanner

谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV.dev 服务,而 OSV-Scanner 则是 OSV 数据库的下一步。开源分布式数据库 OSV.dev 拥有 3.8 万个共建者,支持 16 个生态系统,包括所有主要语言、Linux 发行版(Debian 和 Alpine)、安卓、Linux 内核和 OSS-Fuzz。

扫描仪的原理是利用从 OSV.dev 数据库中提取的数据,来识别一个项目的所有横向依赖关系同时突出相关的漏洞。用户在项目中运行 OSV-Scanner 时,OSV-Scanner 将首先通过分析清单、SBOM 和提交哈希找到所有正在使用的传递依赖项。然后,扫描器将此信息与 OSV 数据库连接起来,并显示与用户项目相关的漏洞。

“审查数以千计的依赖关系不是开发人员可以自己完成的。”谷歌开源安全团队软件工程师 Rex Pan 在发布的博文中说道。根据官方介绍,与闭源漏洞数据库和扫描器相比,OSV-Scanner 主要有以下优势:

  • 每个咨询都有一个开放和权威的来源(例如 RustSec 咨询数据库)。

  • 任何人都可以对咨询提出改进建议,从而得到一个超高质量的数据库。

  • OSV 格式以机器可读的格式明确存储受影响版本的信息,并精确映射到开发人员的软件包列表上。

  • 更少、更可操作的漏洞通知,减少了企业解决漏洞所需的时间。

对于 OSV-Scanner 的未来, Pan 介绍道,团队首先是通过提供独立的 CI 操作进一步与开发人员工作流集成,允许轻松设置和安排以跟踪新漏洞。团队还将持续改进 C/C++ 漏洞(由于缺乏标准包管理器而面临的挑战)、为 OSV-Scanner 添加独特的功能、提供 VEX 支持等。

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

通信行程卡正式下线,三大运营商将删除用户数据;网易放假1天让员工看世界杯决赛;字节跳动:持续“去肥增瘦”人员调整|Q资讯

Twitter快没家了?拖欠租金、变卖家产,马斯克为了省钱用尽奇招

远程协作、降本增效正成为过去,新的三年正在到来

想彻底改变云行业!Spark发源地UC伯克利分校再推开源项目应对云成本飙升:平均降至三分之一

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
聚焦丨人大国发院区域国别论坛(第十四期): 全球不稳定性加剧背景下的区域经济合作与国际能源安全新发!华裔女演员头像银币NNLM、RNNLM、LSTM-RNNLM、Bi-lstm、GPT-1…你都掌握了吗?一文总结语音识别必备经典模型(一)从打倒土豪劣绅到人人斗私批修硬核观察 #838 安卓的 Rust 代码中发现的内存安全漏洞为零谷歌:Android 内存安全漏洞比例下降与使用 Rust 相关【广发策略】资源安全篇:关键原料的稀缺性全盘点—“国家安全”系列(三)平价买到高级感!IKEA全新 OBEGRÄNSAD系列,全系列都好看!hǎo xiǎng “rua” 🤩CTF中SSTI漏洞的简单利用橙县宣布因RSV进入卫生紧急状态,那什么是RSV呢?【TSVC】2023年TSVC要投什么?- Zoom首轮投资人展望2023球场不速客,圆头大尾狸谷歌发布从文本生成音乐的AI作曲系统,但暂不计划发布2023年1月1日施行!《网络产品安全漏洞收集平台备案管理办法》发布【信息安全三分钟】2022.10.29APP漏洞挖掘之某款APP开发商通用漏洞的挖掘紧急上线,华人团队主导,谷歌发布自己的ChatGPT!新的搜索大战要来了死磕操作系统!谷歌重磅发布开源KataOS,网友:「谷歌坟场」喜+17 Papers & Radios | 谷歌开源机器人领域transformer;DeepMind推出剧本写作AI吕一平:90%的安全漏洞,都可被扼杀在研发阶段3D版DALL-E来了!谷歌发布文本3D生成模型DreamFusion,给一个文本提示就能生成3D模型!2022秋游三:Luzern (Lucerne)卢塞恩消费电子出海,别跳进安全漏洞的大坑昨天上课的大妈的不寻常故事谷歌开源漏洞扫描工具OSV-Scanner谷歌开源安全的机器学习操作系统 KataOS新冠未平RSV又起?儿童RSV病毒感染人数激增,儿童医院不堪重负!理解开源安全中的林纳斯定律 | Linux 中国实现能源安全转型,避免下一次能源危机,国际能源企业打算这样做重磅!谷歌发布《深度学习调优手册》!Hinton转发点赞!志玲姐姐被曝日本“拍piàn”?片段流出,网友:你怎么沦落成这样 ……How an American Revitalized a Yunnannese Villa俄罗斯占领军撤离布查前最后一夜:无意义杀戮Transformer再胜Diffusion!谷歌发布新一代文本-图像生成模型Muse:生成效率提升十倍
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。