Google宣佈開源工具OSV-Scanner,該開源漏洞掃描器可提供各種專案的漏洞資訊,加強軟體供應鏈安全。
OSV-Scanner工具是基於Go語言編寫,由開源漏洞(OSV)資料庫支援,可以產生可靠和高品質的漏洞資訊,以弭補開發人員的套裝軟體清單與漏洞資訊之間的空白。掃描器的原理是利用從OSV.dev資料庫中提取的資料,來識別一個專案的所有橫向依賴關係,從而凸顯相關漏洞。
OSV.dev支援16個生態系統,包括所有主要語言、Linux發行版本(Debian和Alpine)、Android、Linux內核和OSS-Fuzz。據統計,OSV.dev安全告警數量比一年前多了1.5倍,其中Linux(27.4%)、Debian(23.2%)、PyPI(9.5%)、Alpine(7.9%)和npm(7.1%)為前5大告警類別。
Google的下一步計畫是建立一個「高品質C/C++漏洞資料庫」,其中將顯示精確的CVE編號及危險等級。
OSV-Scanner 工具是繼
Google 推出開源計畫GUAC (Graph for Understanding Artifact Composition)後近兩個月問世。Google表示OSV-Scanner 工具將是加強軟體供應鏈安全努力的一部分。
Google 呼籲組織開發和佈署通用SLSA框架,以防止篡改,提高完整性,並保護套裝軟體免受潛在威脅,如Log4j漏洞和SolarWinds事件等風險。
Google表示,軟體供應鏈攻擊通常需要強大的技術才能和長期的承諾才能實現。複雜的攻擊行為讓大多數組織都很容易受到軟體供應鏈攻擊威脅,因為攻擊者會花時間將目標鎖定在支援標的物的第三方供應商,藉由這種連結關係,進而攻擊最終標的物。
本文轉載自thehackernews.com。