谷歌周二宣布了OSV-Scanner的开源可用性,该扫描仪旨在提供对各种项目漏洞信息的轻松访问。
这个基于 Go 的工具由开源漏洞 ( OSV ) 数据库提供支持,旨在将“项目的依赖关系列表与影响它们的漏洞联系起来”,Google 软件工程师 Rex Pan 在与黑客新闻分享的帖子中说道。
“OSV-Scanner 生成可靠、高质量的漏洞信息,缩小了开发人员的软件包列表与漏洞数据库中的信息之间的差距,”Pan 补充道。
这个想法是识别项目的所有传递依赖性,并使用从 OSV.dev 数据库中提取的数据突出显示相关漏洞。
谷歌进一步表示,该开源平台支持 16 个生态系统,包括所有主要语言、Linux 发行版(Debian 和 Alpine),以及 Android、Linux Kernel 和 OSS- Fuzz。
这种扩展的结果是 OSV.dev 是超过 38,000 个安全警报的存储库,高于一年前的 15,000 个安全警报,其中包括 Linux (27.4%)、Debian (23.2%)、PyPI (9.5%)、Alpine (7.9 %) 和 npm (7.1%) 占据了前五名。
至于接下来的步骤,这家互联网巨头指出,它正在努力通过构建一个“高质量数据库”来整合对 C/C++ 缺陷的支持,该数据库涉及向“CVE”添加“精确的提交级别元数据”。
OSV-Scanner 在 Google 推出GUAC(理解工件组成图的缩写)后近两个月问世,以补充软件工件的供应链级别( SLSA或“salsa”),作为其加强软件供应链安全性努力的一部分。
上周,谷歌还发布了一份新的“ Perspectives on Security ”报告,呼吁组织开发和部署一个通用的 SLSA 框架,以防止篡改、提高完整性,并保护包裹免受潜在威胁。
该公司提出的其他建议包括承担额外的开源安全责任,并采用更全面的方法来解决风险,例如近年来 Log4j漏洞和SolarWinds事件带来的风险。
“软件供应链攻击通常需要强大的技术能力和长期承诺才能实现,”该公司表示。“老练的演员更有可能有进行此类攻击的意图和能力。”
“大多数组织都容易受到软件供应链攻击,因为攻击者花时间将目标锁定在与客户网络建立可信连接的第三方提供商。然后他们利用这种信任深入挖掘最终目标的网络。”
