Google a publié un nouvel outil gratuit plus tôt cette semaine. Avec cet outil, les développeurs open source pourront accéder facilement aux informations de vulnérabilité de leurs projets.
Appelé OSV Scanner, cet outil basé sur Go dispose d'un mécanisme qui mappe le code et les dépendances du développeur sur des listes de vulnérabilités connues, et revient automatiquement si des correctifs ou des mises à jour sont nécessaires.
Les projets logiciels ont souvent plusieurs dépendances. Cependant, il existe principalement des morceaux de code non documentés provenant de packages open source extraits d'autres bibliothèques. Cette application crée ce que nous appelons des dépendances transitives dans le logiciel. Cela signifie qu'il peut contenir plusieurs couches de vulnérabilités de sécurité difficiles à suivre manuellement.
Lorsque les développeurs exécutent OSV-Scanner sur leurs projets, ils commencent à trouver des dépendances transitives en analysant les manifestes, les SBOM et les hachages de traitement. Il se connectera ensuite à la base de données Open Source Vulnerability (OSV) pour afficher les vulnérabilités pertinentes.
Vous pouvez essayer OSV-Scanner maintenant !
Si vous voulez le scanner OSV du nouveau site Web osv.dev Vous pouvez l'essayer dans vos projets en suivant les instructions. Ou alternativement, pour exécuter OSV-Scanner automatiquement dans votre projet Github, fiche d'évaluationVous pouvez utiliser .
Pour des informations détaillées sécurité.googleblog.com Vous pouvez l'atteindre à.
Vers l'adresse Github du projet github.com/google/osv-scanner Vous pouvez accéder via
