Google hat den OSV-Scanner veröffentlicht, ein Schwachstellenscanner, der Abhängigkeiten berücksichtigt.

Google hat das OSV-Scanner-Tool vorgestellt, mit dem unbehobene Schwachstellen im Code und in Anwendungen überprüft werden können, wobei die gesamte Kette der mit dem Code verbundenen Abhängigkeiten berücksichtigt wird. Der OSV-Scanner ermöglicht es, Situationen zu identifizieren, in denen eine Anwendung anfällig wird, weil ein Problem in einer der Bibliotheken auftritt, die als Abhängigkeit verwendet werden. Dabei kann die verwundbare Bibliothek indirekt verwendet werden, d. h. sie wird über eine andere Abhängigkeit aufgerufen. Der Code des Projekts ist in Go geschrieben und wird unter der Apache 2.0-Lizenz verbreitet.

Der OSV-Scanner kann automatisch rekursiv das Verzeichnisbaum scannen und Projekte sowie Anwendungen anhand von Git-Verzeichnissen identifizieren (die Informationen über Schwachstellen werden durch die Analyse der Commit-Hashes bestimmt), SBOM-Dateien (Software Bill Of Material im SPDX- und CycloneDX-Format), Manifesten oder Lock-Dateien von Paketmanagern wie Yarn, NPM, GEM, PIP und Cargo. Es wird auch unterstützt, das Basisbild von Docker-Containern zu scannen, die aus Paketen aus Debian-Repositories erstellt wurden.

Google hat den OSV-Scanner veröffentlicht, ein Schwachstellenscanner, der Abhängigkeiten berücksichtigt.

Die Informationen zu Sicherheitsanfälligkeiten stammen aus der OSV-Datenbank (Open Source Vulnerabilities), die Details zu Sicherheitsproblemen in den Repositories von Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian und Alpine sowie Daten zu Schwachstellen im Linux-Kernel und Informationen aus Vulnerabilitätsberichten von auf GitHub gehosteten Projekten umfasst. In der OSV-Datenbank wird der Status der Problemlösung dokumentiert, die Commits zu den Entdeckungen und Behebungen von Schwachstellen angegeben, der betroffene Versionsbereich sowie Links zum Projekt-Repository mit Code und Informationen über das Problem bereitgestellt. Die bereitgestellte API ermöglicht es, auf Ebene der Commits und Tags das Auftreten von Schwachstellen zu verfolgen und die Anfälligkeit betroffener Produkte und Abhängigkeiten zu analysieren.

Google hat den OSV-Scanner veröffentlicht, ein Schwachstellenscanner, der Abhängigkeiten berücksichtigt.


Quelle: opennet.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster