Google推出免费工具OSV-Scanner,供开源开发人员可以更简单地访问和项目相关的漏洞资讯。
去年Google发布开源漏洞(Open Source Vulnerability)架构并且启动OSV.dev服务,完成第一个分布式开源漏洞数据库,官方解释,OSV允许不同的开源生态系和漏洞数据库,能够以一种简单、精确且机器可读的格式发布和使用资讯。
而OSV-Scanner则是OSV数据库的下一步,这是由官方支持的前端,能够将项目的相依项目列表,和影响项目的漏洞相关联。由于软件项目通常拥有大量的相依项目,而每个相依项目可能包含现有已知的漏洞,或是尚待发现的新漏洞,但因为相依项目和版本太多,开发人员通常难以手动关注,因此需要自动化来解决这项困难。
OSV-Scanner会自动比对项目相依项目和已知漏洞列表,并于存在修补程序或是更新时通知开发者,Google提到,OSV-Scanner能够生成可靠、高品质的漏洞资讯,以缩小开发人员软件组件列表和OSV数据库中的漏洞资讯落差。
由于OSV-Scanner使用开源分布式OSV.dev数据库,因此官方提到,OSV-Scanner与闭源数据库的扫描仪相比更具优势,包括每个安全通报都是来自开放且权威的来源,所有人都可以提出改进建议,因此能够共同维护高品质数据库,而且OSV格式以机器可读的格式,存储有关受影响的组件版本资讯,该格式能精确地对应到开发者的软件组件列表。
OSV-Scanner会先分析清单、SBOM并提交散列值,找到所有正在使用的递移相依项目,接着OSV-Scanner会将该资讯和OSV数据库进行比对,以显示开发者项目相关的漏洞。同时OSV-Scanner还集成到OpenSSF计分卡漏洞检查,可将漏洞分析从项目的直接漏洞,波及所有相依项目漏洞,代表采用OpenSSF计分卡的项目能够获得更全面的安全检查。