谷歌发布OSV开发工具可列出开源项目依赖中的安全漏洞。
开源软件漏洞问题
开源软件开发者会使用大量的工具、库和组件,通过依赖这些工具和库可以更加快速地解决复杂问题。与其他代码类似,这些开源软件依赖的组件中也可能存在安全漏洞。当开源软件使用这些有漏洞的依赖时,其安全性也受到影响。对于使用大量依赖的软件来说,追踪每个组件中的安全问题和评估其对程序本身的潜在影响是一个非常复杂的任务。
谷歌OSV Scanner工具
谷歌近日发布了OSV Scanner工具,并开源了该工具的源代码。开发者利用该工具可以扫描项目中使用的开源软件依赖中的安全漏洞。扫描工具的数据来源于2021年2月谷歌发布的分布式开源代码漏洞数据库,可以提供影响开源代码已知的安全问题的相关信息。
图 扫描结果示例
OSV Scanner是基于Go语言开发的,可以生成可靠的、高质量的漏洞信息。基本思想是识别所有的项目依赖,并利用OSV.DEV数据库中的数据来识别出相关的漏洞。OSV Scanner支持16种生态系统,涵盖主流的开发语言、linux发行版、以及Android/ target=_blank class=infotextkey>安卓、Linux kernel、OSS-Fuzz等。
下一步方向
谷歌称下一步将通过构建高质量的数据库将C/C++漏洞纳入支持范围。
OSV项目地址:https://osv.dev/
OSV项目源代码参见GitHub:https://github.com/google/osv-scanner
参考及来源:https://www.bleepingcomputer.com/news/security/google-releases-dev-tool-to-list-vulnerabilities-in-project-dependencies/ 与 https://thehackernews.com/2022/12/google-launches-largest-distributed.html