谷歌發布 OSV 開發工具可列出開源項目依賴中的安全漏洞。
開源軟件漏洞問題
開源軟件開發者會使用大量的工具、庫和組件,通過依賴這些工具和庫可以更加快速地解決複雜問題。與其他代碼類似,這些開源軟件依賴的組件中也可能存在安全漏洞。當開源軟件使用這些有漏洞的依賴時,其安全性也受到影響。對于使用大量依賴的軟件來說,追蹤每個組件中的安全問題和評估其對程序本身的潛在影響是一個非常複雜的任務。
谷歌 OSV Scanner 工具
谷歌近日發布了 OSV Scanner 工具,并開源了該工具的源代碼。開發者利用該工具可以掃描項目中使用的開源軟件依賴中的安全漏洞。掃描工具的數據來源于 2021 年 2 月谷歌發布的分布式開源代碼漏洞數據庫,可以提供影響開源代碼已知的安全問題的相關信息。
圖 掃描結果示例
OSV Scanner 是基于 Go 語言開發的,可以生成可靠的、高質量的漏洞信息。基本思想是識别所有的項目依賴,并利用 OSV.DEV 數據庫中的數據來識别出相關的漏洞。OSV Scanner 支持 16 種生态系統,涵蓋主流的開發語言、Linux 發行版、以及安卓、Linux kernel、OSS-Fuzz 等。
下一步方向
谷歌稱下一步将通過構建高質量的數據庫将 C/C++ 漏洞納入支持範圍。
OSV 項目地址:https://osv.dev/
OSV 項目源代碼參見 GitHub:https://github.com/google/osv-scanner
