ProHoster > Blog > ειδήσεις στο διαδίκτυο > Η Google δημοσιεύει το OSV-Scanner, έναν σαρωτή ευπάθειας με επίγνωση της εξάρτησης

Η Google δημοσιεύει το OSV-Scanner, έναν σαρωτή ευπάθειας με επίγνωση της εξάρτησης

Η Google εισήγαγε την εργαλειοθήκη OSV-Scanner για τον έλεγχο για μη επιδιορθωμένες ευπάθειες σε κώδικα και εφαρμογές, λαμβάνοντας υπόψη ολόκληρη την αλυσίδα εξαρτήσεων που σχετίζονται με τον κώδικα. Το OSV-Scanner σάς επιτρέπει να προσδιορίζετε καταστάσεις όπου μια εφαρμογή καθίσταται ευάλωτη λόγω προβλημάτων σε μία από τις βιβλιοθήκες που χρησιμοποιούνται ως εξάρτηση. Σε αυτή την περίπτωση, η ευάλωτη βιβλιοθήκη μπορεί να χρησιμοποιηθεί έμμεσα, π.χ. κληθεί μέσω άλλης εξάρτησης. Ο κώδικας του έργου είναι γραμμένος στο Go και διανέμεται με την άδεια Apache 2.0.

Το OSV-Scanner μπορεί να σαρώσει αυτόματα αναδρομικά ένα δέντρο καταλόγου, αναγνωρίζοντας έργα και εφαρμογές με την παρουσία καταλόγων git (οι πληροφορίες σχετικά με τα τρωτά σημεία προσδιορίζονται μέσω ανάλυσης κατακερματισμών δέσμευσης), αρχείων SBOM (Λογισμικό Bill Of Material σε μορφές SPDX και CycloneDX), μανιφέστων ή κλειδώστε τους διαχειριστές πακέτων αρχείων όπως Yarn, NPM, GEM, PIP και Cargo. Υποστηρίζει επίσης τη σάρωση των περιεχομένων εικόνων κοντέινερ Docker που έχουν δημιουργηθεί από πακέτα από αποθετήρια Debian.

Η Google δημοσιεύει το OSV-Scanner, έναν σαρωτή ευπάθειας με επίγνωση της εξάρτησης

Οι πληροφορίες σχετικά με τα τρωτά σημεία λαμβάνονται από τη βάση δεδομένων OSV (Ερωτικά σημεία ανοιχτού κώδικα), η οποία καλύπτει πληροφορίες σχετικά με προβλήματα ασφαλείας στο Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian και Alpine, καθώς και δεδομένα για τρωτά σημεία στον πυρήνα Linux και πληροφορίες από αναφορές ευπάθειας σε έργα που φιλοξενούνται στο GitHub. Η βάση δεδομένων OSV αντικατοπτρίζει την κατάσταση της επιδιόρθωσης προβλήματος, υποδεικνύει τις δεσμεύσεις με την εμφάνιση και τη διόρθωση της ευπάθειας, το εύρος των εκδόσεων που επηρεάζονται από την ευπάθεια, τους συνδέσμους στο χώρο αποθήκευσης του έργου με τον κώδικα και μια ειδοποίηση σχετικά με το πρόβλημα. Το παρεχόμενο API σάς επιτρέπει να παρακολουθείτε την εκδήλωση τρωτών σημείων σε επίπεδο δεσμεύσεων και ετικετών και να αναλύετε την ευαισθησία των προϊόντων παραγώγων και των εξαρτήσεων στο πρόβλημα.

Η Google δημοσιεύει το OSV-Scanner, έναν σαρωτή ευπάθειας με επίγνωση της εξάρτησης


Πηγή: opennet.ru

Προσθέστε ένα σχόλιο