Google hat Anfang dieser Woche ein neues kostenloses Tool veröffentlicht. Mit diesem Tool können Open-Source-Entwickler leicht auf Schwachstelleninformationen zu ihren Projekten zugreifen.
Dieses Go-basierte Tool mit dem Namen OSV Scanner verfügt über einen Mechanismus, der den Code und die Abhängigkeiten des Entwicklers Listen bekannter Schwachstellen zuordnet und automatisch zurückkehrt, wenn Patches oder Updates erforderlich sind.
Softwareprojekte haben oft mehrere Abhängigkeiten. Es gibt jedoch größtenteils undokumentierte Codeteile aus Open-Source-Paketen, die aus anderen Bibliotheken gezogen wurden. Diese Anwendung erstellt sogenannte transitive Abhängigkeiten in Software. Dies bedeutet, dass es möglicherweise mehrere Schichten von Sicherheitslücken enthält, die manuell schwer zu verfolgen sind.
Wenn Entwickler OSV-Scanner in ihren Projekten ausführen, beginnen sie damit, transitive Abhängigkeiten zu finden, indem sie Manifeste, SBOMs analysieren und Hashes verarbeiten. Es stellt dann eine Verbindung zur Open Source Vulnerability (OSV)-Datenbank her, um die relevanten Schwachstellen anzuzeigen.

Sie können OSV-Scanner jetzt ausprobieren!
Wenn Sie den OSV-Scanner von der neuen Website möchten osv.dev Sie können es in Ihren Projekten ausprobieren, indem Sie den Anweisungen folgen. Oder alternativ OSV-Scanner automatisch in Ihrem Github-Projekt ausführen, ScorecardSie können verwenden.
Ausführliche Informationen security.googleblog.com €XNUMX Sie können es unter erreichen.
An die Github-Adresse des Projekts github.com/google/osv-scanner Sie erreichen über