Google宣佈開源工具OSV-Scanner,該開源漏洞掃描器可提供各種專案的漏洞資訊,加強軟體供應鏈安全。
OSV-Scanner工具是基於Go語言編寫,由開源漏洞(OSV)資料庫支援,可以產生可靠和高品質的漏洞資訊,以弭補開發人員的套裝軟體清單與漏洞資訊之間的空白。掃描器的原理是利用從OSV.dev資料庫中提取的資料,來識別一個專案的所有橫向依賴關係,從而凸顯相關漏洞。
OSV.dev支援16個生態系統,包括所有主要語言、Linux發行版本(Debian和Alpine)、Android、Linux內核和OSS-Fuzz。據統計,OSV.dev安全告警數量比一年前多了1.5倍,其中Linux(27.4%)、Debian(23.2%)、PyPI(9.5%)、Alpine(7.9%)和npm(7.1%)為前5大告警類別。
2022 / 12 / 14 編輯部
資料來源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10243
