OSV-Scanner - nowe i bezpłatne narzędzie zabezpieczające Google'a

OSV-Scanner zapewnia wygodny dostęp do ogromnej bazy danych luk w zabezpieczeniach. Google udostępnia je w postaci open-source. Firmie zależy, aby programiści mieli łatwiejszy dostęp do ważnych informacji na temat zabezpieczeń.

OSV-Scanner / Fot. Materiały własne

OSV-Scanner / Fot. Materiały własne

W 2021 r. Google uruchomił usługę OSV.dev jako rozproszoną bazę danych o lukach w zabezpieczeniach. Dzięki temu można było publikować informacje o lukach w zabezpieczeniach i dzielić się nimi, by później całość była dostępna do odczytu dla maszyn w jednym formacie. OSV-Scanner to swojego rodzaju nakładka na tę bazę danych, która łączy listę złożoności projektu z lukami, które ich dotyczą. Inaczej mówiąc, możemy opracowywać dany projekt, a następnie sprawdzić jakie luki zabezpieczające mogą występować, gdy korzystamy z konkretnych rozwiązań i technologii. Ta wiedza powinna sprawić, że wprowadzimy odpowiednie zabezpieczenia.

OSV-Scanner jest też zintegrowany z narzędziem OpenSSF Scorecard Vulnerabilities Check, co oznacza, że będzie w stanie rozszerzyć analizę z samych bezpośrednich luk w zabezpieczeniach projektu na luki we wszystkich jego zależnościach.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Dlaczego warto korzystać z VPN w 2024 roku?

Luki w zabezpieczeniach powinny zniknąć

Ponieważ projekty oprogramowania często obejmują wiele zależności stron trzecich, pochodzących z zewnętrznych bibliotek oprogramowania, ze zbyt wieloma różnymi wersjami, aby można je było śledzić ręcznie, automatyzacja będzie przydatna do zapewnienia bezpieczeństwa - tak przynajmniej przekonuje Google.

Ponadto każdy poradnik dotyczący luk w zabezpieczeniach pochodzi z otwartego i wiarygodnego źródła, na przykład z bazy danych RustSec Advisory Database.

Google twierdzi, że każdy może zasugerować ulepszenia tych porad, co sprawi, że baza danych będzie bardzo wysokiej jakości. Jeśli chcesz wypróbować OSV-Scanner, możesz wejść na tę stronę internetową i postępować zgodnie z instrukcjami lub przeczytać przewodnik GitHub.

Luki w zabezpieczeniach open source pozostają kluczowym punktem końcowym dla hakerów, aby znaleźć drogę do systemów i Google chce, aby bezpieczeństwo oprogramowania było znacznie wyższe.

Jak czytamy w raporcie firmy Snyk, zajmującej się cyberbezpieczeństwem, który powstał we współpracy z Linux Foundation, aż dwie na pięć (41%) firm nie ma pewności co do bezpieczeństwa swojego kodu open source. Ten brak zaufania utrudnia przyjęcie technologii w wielu przypadkach. Liczba firm chcących wdrożyć oprogramowanie open source w swoich środowiskach produkcyjnych faktycznie spadła o 5%, z 95% w 2021 r. do 90% w tym roku. Bezpieczeństwo jest więc kluczowe.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200