Google właśnie wydało nowe narzędzie o nazwie OSV-Scanner, bezpłatne narzędzie typu open source, które zapewnia programistom łatwy dostęp do informacji o lukach w zabezpieczeniach związanych z ich projektem.
W 2021 roku Google uruchomił usługę OSV.dev, rozproszoną bazę danych luk w zabezpieczeniach typu open source, która umożliwia różnym ekosystemom open source i bazom danych luk w zabezpieczeniach publikowanie i wykorzystywanie informacji w formacie czytelnym dla człowieka.
Według Google OSV-Scanner zapewnia teraz oficjalnie obsługiwany interfejs do tej bazy danych OSV, który łączy listę zależności projektu z lukami, które ich dotyczą.
Co jeszcze oferuje?
Najwyraźniej OSV-Scanner jest zintegrowany z Dashboard Vulnerability Checker OpenSSF, co oznacza, że będziesz mógł rozszerzyć skanowanie w poszukiwaniu bezpośrednich luk w projekcie, aby obejmowało również luki we wszystkich jego zależnościach.
Ponieważ projekty oprogramowania często wiążą się z wieloma zależnościami stron trzecich od zewnętrznych bibliotek oprogramowania, ze zbyt wieloma różnymi wersjami do ręcznego śledzenia, automatyzacja będzie pomocna w zapewnieniu bezpieczeństwa według Google.
Ponadto każdy poradnik dotyczący luk w zabezpieczeniach pochodzi z „autorytatywnego, otwartego źródła”, na przykład z bazy danych porad RustSec.
Google twierdzi, że każdy może zasugerować ulepszenia recenzji, co skutkuje bardzo wysokiej jakości bazą danych.
Jeśli chcesz wypróbować OSV-Scanner, możesz wejść na stronę internetową (otwiera się w nowej karcie) i postępować zgodnie z instrukcjami lub przeczytać przewodnik na GitHub (otwiera się w nowej karcie).
Nie jest niespodzianką, że Google stara się wstrzyknąć zasoby do bezpieczeństwa open source, luki w zabezpieczeniach open source pozostają kluczowym punktem końcowym dla hakerów włamujących się do systemów.
W rzeczywistości raport firmy Snyk zajmującej się cyberbezpieczeństwem, we współpracy z Linux Foundation, wykazał, że dwie na pięć firm (41%) nie ufają bezpieczeństwu swojego otwartego kodu źródłowego.
Ten brak zaufania utrudnia przyjęcie technologii w wielu przypadkach, liczba firm chcących wdrożyć oprogramowanie open source w swoich środowiskach produkcyjnych spadła o 5%, z 95% w 2021 r. do 90% este año.
- Chcesz być bezpieczny w Internecie? Sprawdź nasz przewodnik po najlepszych zaporach ogniowych