La campaña de Google anunció el lanzamiento del OSV-Scanner de código abierto, que debería facilitar a los desarrolladores la búsqueda de vulnerabilidades en proyectos de código abierto. El escáner está escrito en Go y se basa en una base de datos distribuida de vulnerabilidades de código abierto OSV de código abierto creada por Google en febrero pasado.
Según los autores, OSV-Scanner está diseñado para ayudar en la lucha contra las vulnerabilidades de la cadena de suministro y está diseñado para compilar una lista de dependencias del proyecto, así como las vulnerabilidades que les afectan. La idea es identificar todas las dependencias transitivas y resaltar sus vulnerabilidades correspondientes utilizando datos de OSV.dev.
«OSV-Scanner genera información confiable y de alta calidad sobre vulnerabilidades, lo que cierra la brecha entre la lista de paquetes de desarrollo y la información en las bases de datos de vulnerabilidades», escribió Google.
Los desarrolladores también informan que OSV soporta 16 ecosistemas, incluyendo todos los lenguajes principales, distribuciones de Linux (Debian y Alpine), Android, Linux Kernel y OSS-Fuzz, PyPI, npm, OSS-Fuzz y Maven.
Te puede interesar:
LA ADUANA ALEMANA DESTRUIRÁ LA CARGA CON FLIPPER ZERO POR $ 200,000
De hecho, esta es la base de datos de vulnerabilidades de código abierto más grande del mundo, que solo en 2022 absorbió más de 23,000 recomendaciones.
Los ingenieros de Google dicen que en el futuro, OSV-Scanner mejorará el soporte para las vulnerabilidades de C / C ++, así como integrará acciones de CI fuera de línea para simplificar la planificación de escaneos. Además, pronto OSV-Scanner aprenderá a recomendar versiones específicas en las que las vulnerabilidades identificadas ya han sido eliminadas.