Google ha rilasciato un nuovo strumento gratuito all'inizio di questa settimana. Con questo strumento, gli sviluppatori open source potranno accedere facilmente alle informazioni sulle vulnerabilità dei loro progetti.
Chiamato OSV Scanner, questo strumento basato su Go ha un meccanismo che associa il codice e le dipendenze dello sviluppatore a elenchi di vulnerabilità note e restituisce automaticamente se sono necessarie patch o aggiornamenti.
I progetti software hanno spesso più dipendenze. Tuttavia, ci sono per lo più pezzi di codice non documentati provenienti da pacchetti open source estratti da altre librerie. Questa applicazione crea quelle che chiamiamo dipendenze transitive nel software. Ciò significa che può contenere più livelli di vulnerabilità di sicurezza che sono difficili da tracciare manualmente.
Quando gli sviluppatori eseguono OSV-Scanner nei loro progetti, inizieranno a trovare dipendenze transitive analizzando manifest, SBOM ed elaborando gli hash. Si collegherà quindi al database Open Source Vulnerability (OSV) per visualizzare le vulnerabilità pertinenti.

Puoi provare OSV-Scanner ora!
Se vuoi lo scanner OSV dal nuovo sito web osv.dev Puoi provarlo nei tuoi progetti seguendo le istruzioni. O in alternativa, per eseguire OSV-Scanner automaticamente nel tuo progetto Github, cartoncino segnapuntiPuoi usare .
Informazioni dettagliate sicurezza.googleblog.com Puoi raggiungerlo a
All'indirizzo Github del progetto github.com/google/osv-scanner Puoi accedere tramite