Google heeft een tool uitgebracht waarmee ontwikkelaars van opensourcesoftware sneller kwetsbaarheden in hun code kunnen ontdekken. De tool heet OSV-scanner en is gebaseerd op Go.
OSV staat voor Open Source Vulnerability. OSV-scanner maakt gebruik van de OSV-database die Google vorig jaar heeft opgezet. Dat is een opensourcedatabase waarin informatie wordt verzameld over bekende kwetsbaarheden. Google noemt OSV-scanner 'een officieel ondersteunde frontend' voor die database. Api-instructies staan op de OSV-website.
De tool die het bedrijf nu uitbrengt, is bedoeld voor ontwikkelaars van opensourcesoftware die gebruikmaken van externe library's en dependency's. Door OSV-scanner te gebruiken worden al die dependency's gescand op bekende kwetsbaarheden die in de database zijn opgenomen. De scanner gebruikt onder andere manifests en commit-hashes om te kijken welke dependency's worden gebruikt. Die kwetsbaarheden krijgen daarna ook een controle op de OpenSSF Scorecard-database.
Google zegt dat de tool gebaseerd is op Go. De broncode ervan is open source en beschikbaar op GitHub. In de toekomst wil het bedrijf continuous integration actions implementeren in de tool, zodat scans bijvoorbeeld kunnen worden ingepland. Ook wordt de ondersteuning voor scans van C- en C++-code uitgebreid en komt er ondersteuning voor VEX-rapportages. Wanneer dat gebeurt, is nog niet bekend.
/i/2005511786.png?f=imagenormal)
/i/2004765172.png?f=fpa)
:strip_exif()/i/2001673565.jpeg?f=fpa)
/i/2004629064.png?f=fpa)
:strip_exif()/i/2005393580.jpeg?f=fpa)
/i/2004612546.png?f=fpa)
/i/2005017354.png?f=fpa)
:strip_exif()/i/1263563744.gif?f=fpa)
:strip_icc():strip_exif()/u/69025/nvicon.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/277895/crop5eda5f3273e75_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community){kind=small}
/u/189748/1984-14997.png?f=community){kind=small}
:strip_icc():strip_exif()/u/162143/crop5b6d888e9cc79_cropped.jpeg?f=community){kind=small}