Google запускает OSV-Scanner для поиска уязвимостей в опенсорсных проектах

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 14 Dec 2022.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,482
    Likes Received:
    7,063
    Reputations:
    693
    Кампания Google объявила о запуске опенсорсного OSV-Scanner, который должен облегчить разработчикам поиск уязвимостей в проектах с открытым исходным кодом. Сканер написан на Go и опирается на распределенную базу опенсорсных уязвимостей OSV с открытым исходным кодом, созданную Google в феврале прошлого года.

    По словам авторов, OSV-Scanner призван помочь в борьбе с уязвимостями цепочки поставок и предназначен для составления списка зависимостей проекта, а также уязвимостей, которые на них влияют. Идея заключается в том, чтобы определить все транзитивные зависимости и выделить соответствующие им уязвимости, используя данные из OSV.dev.


    [​IMG]
    Пример работы сканера
    «OSV-Scanner генерирует надежную и качественную информацию об уязвимостях, которая закрывает пробел между списком пакетов разработчика и информацией в базах данных уязвимостей», — пишут в Google.​

    Также разработчики сообщают, что OSV поддерживает 16 экосистем, включая все основные языки, дистрибутивы Linux (Debian и Alpine), Android, Linux Kernel и OSS-Fuzz, PyPI, npm, OSS-Fuzz и Maven.

    [​IMG] Фактически это крупнейшая в мире база данных уязвимостей с открытым исходным кодом, только в 2022 году вобравшая в себя более 23 000 рекомендаций.

    Инженеры Google рассказывают, что в будущем в OSV-Scanner улучшат поддержку уязвимостей C/C++, а также интегрируют автономные действия CI, чтобы упростить планирование сканирований. Также скоро OSV-Scanner научится рекомендовать конкретные версии, в которых уже устранены выявленные уязвимости.

     
    _________________________
    CyberTro1n likes this.
  2. CyberTro1n

    CyberTro1n Elder - Старейшина

    Joined:
    20 Feb 2016
    Messages:
    1,075
    Likes Received:
    855
    Reputations:
    14
    А вообще следовало было от них подобное ожидать?
    Сканер... Епать там база.
    Перспективный проект.
    Одна из 0х[¥]евших новостей за последнее время. Спасибо.
     
Loading...