Google lanzó una nueva herramienta gratuita a principios de esta semana. Con esta herramienta, los desarrolladores de código abierto podrán acceder fácilmente a la información de vulnerabilidad de sus proyectos.

Llamada OSV Scanner, esta herramienta basada en Go tiene un mecanismo que asigna el código y las dependencias del desarrollador a listas de vulnerabilidades conocidas, y regresa automáticamente si se necesitan parches o actualizaciones.

Los proyectos de software a menudo tienen múltiples dependencias. Sin embargo, en su mayoría hay fragmentos de código no documentados de paquetes de código abierto extraídos de otras bibliotecas. Esta aplicación crea lo que llamamos dependencias transitivas en el software. Esto significa que puede contener varias capas de vulnerabilidades de seguridad que son difíciles de rastrear manualmente.

Cuando los desarrolladores ejecuten OSV-Scanner en sus proyectos, comenzarán a encontrar dependencias transitivas mediante el análisis de manifiestos, SBOM y hashes de procesamiento. Luego se conectará a la base de datos de vulnerabilidades de código abierto (OSV) para ver las vulnerabilidades relevantes.

¡Puedes probar OSV-Scanner ahora!

Si desea el OSV-Scanner del nuevo sitio web osv.dev Puedes probarlo en tus proyectos siguiendo las instrucciones. O alternativamente, para ejecutar OSV-Scanner automáticamente en su proyecto de Github, TanteadorPuedes usar .

Informacion detallada seguridad.googleblog.com Puedes alcanzarlo en.

A la dirección Github del proyecto github.com/google/osv-escáner Puede acceder a través de