Google 释出开源软件漏洞扫描工具 OSV-Scanner
开源开发人员可在项目使用 OSV-Scanner,透过比对依赖项目和 OSV 漏洞资料库,找出项目的依赖项目中所存在的漏洞。
Google 推出免费工具 OSV-Scanner(https://github.com/google/osv-scanner),供开源开发人员可以更简单地存取和项目相关的漏洞资讯。
去年 Google 发布开源漏洞(Open Source Vulnerability)架构并且启动 OSV.dev 服务,完成第一个分散式开源漏洞数据库,官方解释,OSV 允许不同的开源生态系和漏洞资料库,能够以一种简单、精确且机器可读的格式发布和使用资讯。
而 OSV-Scanner 则是 OSV 资料库的下一步,这是由官方支援的前端,能够将项目的依赖项目列表,和影响项目的漏洞相关联。由于软件项目通常拥有大量的依赖项目,而每个依赖项目可能包含现有已知的漏洞,或是尚待发现的新漏洞,但因为依赖项目和版本太多,开发人员通常难以手动追踪,因此需要自动化来解决这项困难。
OSV-Scanner 会自动比对项目与其依赖项目和已知漏洞列表,并于存在修补程式或是更新时通知开发者,Google 提到,OSV-Scanner 能够生成可靠、高品质的漏洞资讯,以缩小开发人员软件套件列表和 OSV 资料库中的漏洞信息落差。
由于 OSV-Scanner 使用开源分散式 OSV.dev 数据库,因此官方提到,OSV-Scanner 与闭源数据库的扫瞄器相比更具优势,包括每个安全通报都是来自开放且权威的来源,所有人都可以提出改进建议,因此能够共同维护高品质资料库,而且OSV 格式以机器可读的格式,储存有关受影响的套件版本资讯,该格式能精确地对应到开发者的软件套件列表。
OSV-Scanner 会先分析清单、SBOM 并提交杂凑(hash)值,找到所有正在使用的传递(transitive)依赖项目,接著OSV-Scanner 会将该资讯和 OSV 数据库进行比对,以显示开发者项目相关的漏洞。同时 OSV-Scanner 还整合到 OpenSSF 计分卡漏洞检查,可将漏洞分析从项目的直接漏洞,扩及所有依赖项目的漏洞,代表采用 OpenSSF 计分卡的项目能够获得更全面的安全检查。
作者 | iThome 李建兴
翻译 | 刘天栋.Ted
编辑 | 张可芯
相关阅读 | Related Reading
开源码力圆桌文字稿
投身开源,需要持之以恒的热爱与贡献 —— Apache Spark Committer 姜逸坤
开源社简介
开源社成立于 2014 年,是由志愿贡献于开源事业的个人成员,依 “贡献、共识、共治” 原则所组成,始终维持厂商中立、公益、非营利的特点,是最早以 “开源治理、国际接轨、社区发展、开源项目” 为使命的开源社区联合体。开源社积极与支持开源的社区、企业以及政府相关单位紧密合作,以 “立足中国、贡献全球” 为愿景,旨在共创健康可持续发展的开源生态,推动中国开源社区成为全球开源体系的积极参与及贡献者。
2017 年,开源社转型为完全由个人成员组成,参照 ASF 等国际顶级开源基金会的治理模式运作。近八年来,链接了数万名开源人,集聚了上千名社区成员及志愿者、海内外数百位讲师,合作了近百家赞助、媒体、社区伙伴。
Google 释出开源软件漏洞扫描工具 OSV-Scanner相关推荐
- arachni web mysql数据库_开源Web漏洞扫描工具–Arachni(转载)
作者:{SJW}@ArkTeam Arachni是一个开源的,全面的.模块化的Web漏洞扫描框架,它能够帮助渗透人员和网络管理人员测试Web应用的安全性. 一.功能介绍 Arachni能适用于多平台和 ...
- 开源web漏洞扫描工具集合
*参考来源:geekflare,FB小编柚子编译,转载请注明来自FreeBuf.COM 赛门铁克2017年互联网安全威胁报告中提出在他们今年扫描的网站中,有76%都含有恶意软件.如果你在用WordPr ...
- 开源Web漏洞扫描工具–Arachni
下载地址: 官网地址:http://www.arachni-scanner.com/ Arachni是一个包含很多特性.模块化的.高性能的Ruby框架,目的是帮助渗透测试人员和管理者评估现代web应用 ...
- 自动化漏洞扫描工具使用指南
作为企业的IT安全管理员,您的重要任务之一,一定离不开全面的漏洞管理.即,全方位地评估.报告和缓解企业内部技术栈中,存在的各项安全弱点和网络威胁.而面对此类繁杂复杂的工作时,我们往往需要借助自动化的漏 ...
- java 漏洞扫描 开源_有哪些开源web应用漏洞扫描工具?
学习的话推荐你看看这块扫描器:backslash-powered-scannerPortSwigger/backslash-powered-scannergithub.com 现有的web扫描器通过 ...
- 【安全工具】全!十大Web漏洞扫描工具
十大Web漏洞扫描工具 Acunetix Web Vulnerability Scanner[( 简称AwVS ) AwVS是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行 ...
- 十大Web服务器漏洞扫描工具
[收藏]十大Web服务器漏洞扫描工具 现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任.但是巧妇难为无米之炊,该选择哪些安全工具呢? ...
- 网站漏洞扫描软件wrbscanner_用于渗透测试的10种漏洞扫描工具
漏洞扫描工具是IT部门中必不可少的工具之一,因为漏洞每天都会出现,给企业带来安全隐患. 漏洞扫描工具有助于检测安全漏洞.应用程序.操作系统.硬件和网络系统. 黑客在不停的寻找漏洞,并且利用它们谋取利益 ...
- Windows主机漏洞扫描工具
0x00 说明: 这是一款基于主机的漏洞扫描工具,采用多线程确保可以快速的请求数据,采用线程锁可以在向sqlite数据库中写入数据避免database is locked的错误,采用md5哈希算法确保 ...
最新文章
- Build gradle : Could not find method packagingOptions() for arguments root Project “fasterDev”
- 人事信息管理系统(PMS)
- c++实现多态的方法 虚表
- tilecache2.11在windows apache2.22安装部署
- 所有特征在不同分类之间、 train和test之间的列分布差异(图形绘制)
- 2021牛客暑期多校训练营1 J-Journey among Railway Stations(线段树+思维转化)
- 跨域小结(为什么form表单提交没有跨域问题,但ajax提交有跨域问题)
- 【LeetCode】【字符串】题号:*49. 字母异位词分组
- 如何给awk传外部参数
- 面对面教你如何用Python提取快递信息
- P2921 [USACO08DEC]在农场万圣节
- itest监考机制_iTEST系统
- CC++ recap
- 智慧树期末考试可以切换页面吗_智慧树考试可以切换界面吗?中途可以退出吗...
- 华为又要给员工分红了!预计每股 1.61 元,网友:点赞任正非
- vue实现下拉表单二级联动
- 商务网站建设与维护【11】
- FLUENT液滴挥发模拟
- (心态篇)空杯心态,一个程序员的自我修炼
- 一个三流学校程序员的奋斗