開源開發(fā)人員可在項(xiàng)目使用 OSV-Scanner,透過(guò)比對(duì)依賴項(xiàng)目和 OSV 漏洞資料庫(kù),找出項(xiàng)目的依賴項(xiàng)目中所存在的漏洞。
Google 推出免費(fèi)工具 OSV-Scanner(https://github.com/google/osv-scanner),供開源開發(fā)人員可以更簡(jiǎn)單地存取和項(xiàng)目相關(guān)的漏洞資訊。
去年 Google 發(fā)布開源漏洞(Open Source Vulnerability)架構(gòu)并且啟動(dòng) OSV.dev 服務(wù),完成第一個(gè)分散式開源漏洞數(shù)據(jù)庫(kù),官方解釋,OSV 允許不同的開源生態(tài)系和漏洞資料庫(kù),能夠以一種簡(jiǎn)單、精確且機(jī)器可讀的格式發(fā)布和使用資訊。
而 OSV-Scanner 則是 OSV 資料庫(kù)的下一步,這是由官方支援的前端,能夠?qū)㈨?xiàng)目的依賴項(xiàng)目列表,和影響項(xiàng)目的漏洞相關(guān)聯(lián)。由于軟件項(xiàng)目通常擁有大量的依賴項(xiàng)目,而每個(gè)依賴項(xiàng)目可能包含現(xiàn)有已知的漏洞,或是尚待發(fā)現(xiàn)的新漏洞,但因?yàn)橐蕾図?xiàng)目和版本太多,開發(fā)人員通常難以手動(dòng)追蹤,因此需要自動(dòng)化來(lái)解決這項(xiàng)困難。
OSV-Scanner 會(huì)自動(dòng)比對(duì)項(xiàng)目與其依賴項(xiàng)目和已知漏洞列表,并于存在修補(bǔ)程式或是更新時(shí)通知開發(fā)者,Google 提到,OSV-Scanner 能夠生成可靠、高品質(zhì)的漏洞資訊,以縮小開發(fā)人員軟件套件列表和 OSV 資料庫(kù)中的漏洞信息落差。
由于 OSV-Scanner 使用開源分散式 OSV.dev 數(shù)據(jù)庫(kù),因此官方提到,OSV-Scanner 與閉源數(shù)據(jù)庫(kù)的掃瞄器相比更具優(yōu)勢(shì),包括每個(gè)安全通報(bào)都是來(lái)自開放且權(quán)威的來(lái)源,所有人都可以提出改進(jìn)建議,因此能夠共同維護(hù)高品質(zhì)資料庫(kù),而且OSV 格式以機(jī)器可讀的格式,儲(chǔ)存有關(guān)受影響的套件版本資訊,該格式能精確地對(duì)應(yīng)到開發(fā)者的軟件套件列表。
OSV-Scanner 會(huì)先分析清單、SBOM 并提交雜湊(hash)值,找到所有正在使用的傳遞(transitive)依賴項(xiàng)目,接著OSV-Scanner 會(huì)將該資訊和 OSV 數(shù)據(jù)庫(kù)進(jìn)行比對(duì),以顯示開發(fā)者項(xiàng)目相關(guān)的漏洞。同時(shí) OSV-Scanner 還整合到 OpenSSF 計(jì)分卡漏洞檢查,可將漏洞分析從項(xiàng)目的直接漏洞,擴(kuò)及所有依賴項(xiàng)目的漏洞,代表采用 OpenSSF 計(jì)分卡的項(xiàng)目能夠獲得更全面的安全檢查。
作者 |?iThome 李建興
翻譯 |?劉天棟.Ted
編輯 | 張可芯
相關(guān)閱讀?|?Related Reading
開源碼力圓桌文字稿
投身開源,需要持之以恒的熱愛與貢獻(xiàn) —— Apache Spark Committer 姜逸坤
開源社簡(jiǎn)介
開源社成立于 2014 年,是由志愿貢獻(xiàn)于開源事業(yè)的個(gè)人成員,依 “貢獻(xiàn)、共識(shí)、共治” 原則所組成,始終維持廠商中立、公益、非營(yíng)利的特點(diǎn),是最早以 “開源治理、國(guó)際接軌、社區(qū)發(fā)展、開源項(xiàng)目” 為使命的開源社區(qū)聯(lián)合體。開源社積極與支持開源的社區(qū)、企業(yè)以及政府相關(guān)單位緊密合作,以 “立足中國(guó)、貢獻(xiàn)全球” 為愿景,旨在共創(chuàng)健康可持續(xù)發(fā)展的開源生態(tài),推動(dòng)中國(guó)開源社區(qū)成為全球開源體系的積極參與及貢獻(xiàn)者。
2017 年,開源社轉(zhuǎn)型為完全由個(gè)人成員組成,參照 ASF 等國(guó)際頂級(jí)開源基金會(huì)的治理模式運(yùn)作。近八年來(lái),鏈接了數(shù)萬(wàn)名開源人,集聚了上千名社區(qū)成員及志愿者、海內(nèi)外數(shù)百位講師,合作了近百家贊助、媒體、社區(qū)伙伴。
你是否還在尋找穩(wěn)定的海外服務(wù)器提供商?創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級(jí)流量清洗系統(tǒng)配攻擊溯源,準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性,企業(yè)級(jí)服務(wù)器適合批量采購(gòu),新人活動(dòng)首月15元起,快前往官網(wǎng)查看詳情吧
分享標(biāo)題:Google釋出開源軟件漏洞掃描工具OSV-Scanner?-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)地址:http://redsoil1982.com.cn/article24/cogeje.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站排名、關(guān)鍵詞優(yōu)化、網(wǎng)站導(dǎo)航、標(biāo)簽優(yōu)化、微信小程序
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容