O Google lança o OSV-Scanner, um scanner de vulnerabilidade de linha de comando open source gratuito.
Após o lançamento do Scanner de vulnerabilidades open source OSVdev, o Google lança o scanner de vulnerabilidades open source OSV-Scanner, que pode ser usado pelos desenvolvedores para verificar as vulnerabvliddes nas dependências dos seu projetos.
Conforme a explicação de Rex Pan, engenheiro de software da equipe de segurança de código aberto do Google.
“O OSV.dev permite que todos os diferentes ecossistemas de código aberto e bancos de dados de vulnerabilidade publiquem e consumam informações em um formato simples, preciso e legível por máquina”.
“No total, o OSV.dev agora suporta 16 ecossistemas, incluindo todos os principais ecossistemas de idiomas, distribuições Linux (Debian e Alpine), bem como Android, Linux Kernel e OSS-Fuzz. Isso significa que o banco de dados OSV.dev é agora o maior banco de dados de vulnerabilidades de código aberto desse tipo, com um total de mais de 38.000 avisos de 15.000 avisos de um ano atrás.”
O OSV-Scanner funciona como um front-end para o banco de dados OSV.dev.
Primeiro, ele passa pelos arquivos de bloqueio de um projeto (arquivos que armazenam as informações de um gráfico de dependência), SBOMs e diretórios git para o hash de confirmação mais recente, lista as dependências transitivas e versões usadas nos projetos do desenvolvedor e, finalmente, compara essa lista com o OSV banco de dados (através da API OSV.dev).
O resultado mostrado se parece com esse.
Esse scanner por ser multiplataforma, pode ser instalado no Linux, MacOS e Windows e ele também foi integrado na verificação de vulnerabilidades do Open SSF Scorecard.
Para criar a lista de dependências, você pode apontar o OSV-Scanner para o diretório do seu projeto ou passar manualmente o caminho para arquivos de manifesto individuais”, diz o Google. A ferramenta pode ser configurada para ignorar vulnerabilidades específicas.
De acordo com o Google, existe um plano para transformar o OSV-Scanner em uma ferramenta completa de gerenciamento de vulnerabilidades, se inetgrando ainda mais aos fluxos de trabalho do desenvolvedor (pelas ações independentes de CI), que adicionam recursos como correção automática de vulnerabilidades, fazendo o mínimo de atualizações de versão e melhorando o suporte a vulnerabilidades C/C++ .
Até a próxima !!
Nenhum comentário:
Postar um comentário