Google推出OSV-Scanner 自動掃描開原碼軟體漏洞

Google 本周宣佈推出開原碼軟體專用的免費漏洞掃瞄工具,幫助開發人員很快查詢到漏洞資訊以及修補程式。

Google 本周宣佈推出開原碼軟體專用的免費漏洞掃瞄工具,幫助開發人員很快查詢到漏洞資訊以及修補程式。

去年Google釋出開原碼漏洞(open source vulnerability, OSV)資料庫OSV.dev服務,並出版了OSV schema。OSV.dev是第一個分散式開原碼軟體漏洞資料庫,讓不同漏洞資料庫都可以以簡單、精準、機器可讀的格式出版,也能享有他人貢獻的資訊。而OSV schema則讓其他軟體資料庫可以介接OSV.dev資料庫的安全通報。

Google說自去年6月推出以來,OSV schema獲得許多資料庫採用,像是GitHub Security Advisories和Android Security Bulletins,現在OSV.dev支援16個社群,包括主要語言社群、Linux發行版(Debian及Alpine),以及Android、Linux Kernel及OSS-Fuzz,這意謂OSV.dev一年以來集結的安全通報由去年的1.5萬成長到超過3.8萬個,現在是全球最大的開原碼漏洞資料庫。

OSV-Scanner是OSV.dev的下一步,提供OSV 資料的官方支援前端介面,並連結影響專案的漏洞相依性清單。

Google解釋,軟體專案一般有各種相依性,每個相依性可能存在已知或未知漏洞,人力不容易管理和追蹤這麼多相依性和版本,必須自動化,掃瞄工具正是解決之道,它可將軟體程式碼和相依性與已知漏洞比對,一旦發現需要修補或更新就會發出通知,這也是2021年拜登政府網路安全行政命令將自動化列為美國安全軟體開發的國家標準之一。

OSV-Scanner可協助開發人員更快找到漏洞資訊。在專案上執行而OSV-Scanner時,它會先分析清單檔案(manifest)、軟體物料清單(Software BOM)、commit hashes等找出難以發現的相依性,之後將這些資訊連結到OSV資料庫,顯示和專案相關的漏洞。OSV-Scanncer也已整合到OpenSSF 計分卡(Scorecard)的漏洞檢查,使分析標的從專案直接漏洞延伸到它所有相依性中的漏洞。這表示由評估安全風險的OpenSSF 計分卡負責的120萬個專案獲得更全面的檢查。

Google也改版了OSV.dev,提供更好的使用者介面,方便漏洞的資訊查詢。

來源:Google

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416