导读 谷歌刚刚推出了一款名为 OSV-Scanner 的新工具,这是一款免费的开源工具,据称它可以让开发人员轻松访问与其项目相关的漏洞信息。2021
谷歌刚刚推出了一款名为 OSV-Scanner 的新工具,这是一款免费的开源工具,据称它可以让开发人员轻松访问与其项目相关的漏洞信息。
2021 年,Google 推出了分布式开源漏洞数据库 OSV.dev 服务,使各种开源生态系统和漏洞数据库能够以一种机器可读的格式发布和使用信息。
据谷歌称,OSV-Scanner 现在为这个 OSV 数据库提供了一个官方支持的前端,它将项目的依赖项列表与影响它们的漏洞联系起来。
这还提供什么?
OSV-Scanner 显然已集成到 OpenSSF 的记分卡漏洞检查中,这意味着它将能够将分析从仅项目的直接漏洞扩展到还包括其所有依赖项中的漏洞。
由于软件项目通常涉及许多来自外部软件库的第三方依赖项,并且有太多不同的版本需要手动跟踪,因此自动化将有助于确保安全性,据谷歌称。
此外,每个漏洞咨询均来自“开放且权威的来源”,例如 RustSec 咨询数据库。
谷歌表示,任何人都可以提出改进意见的建议,从而形成一个非常高质量的数据库。