Google ha appena rilasciato un nuovo strumento chiamato OSV-Scanner, uno strumento open source gratuito che, secondo quanto affermato, offre agli sviluppatori un facile accesso alle informazioni sulle vulnerabilità rilevanti per il loro progetto.
Nel 2021, Google ha lanciato il servizio OSV.dev, un database di vulnerabilità open source distribuito, che consente a una varietà di ecosistemi open source e database di vulnerabilità di pubblicare e utilizzare informazioni in un formato leggibile dall'uomo.
Secondo Google, OSV-Scanner ora fornisce un'interfaccia ufficialmente supportata a questo database OSV, che collega l'elenco delle dipendenze di un progetto alle vulnerabilità che le riguardano.
Cos'altro offre?
Apparentemente, OSV-Scanner è integrato con Dashboard Vulnerability Checker di OpenSSF, il che significa che sarai in grado di estendere la scansione per le vulnerabilità dirette in un progetto per includere anche le vulnerabilità in tutte le sue dipendenze.
Poiché i progetti software spesso comportano molte dipendenze di terze parti da librerie software esterne, con troppe versioni diverse da monitorare manualmente, l'automazione sarà utile per garantire la sicurezza secondo Google.
Inoltre, ogni avviso di vulnerabilità proviene da una “fonte aperta e autorevole”, ad esempio il database di consulenza RustSec.
Google afferma che chiunque può suggerire miglioramenti alle recensioni, il che si traduce in un database di altissima qualità.
Se vuoi provare OSV-Scanner, puoi andare sul sito web (si apre in una nuova scheda) e seguire le istruzioni, oppure leggere la guida su GitHub (si apre in una nuova scheda).
Non sorprende che Google cerchi di iniettare risorse nella sicurezza open source, le vulnerabilità open source rimangono un endpoint chiave per gli hacker per entrare nei sistemi.
Infatti, un rapporto della società di sicurezza informatica Snyk, in collaborazione con la Linux Foundation, ha rilevato che due aziende su cinque (41%) non si fidano della sicurezza del loro codice open source.
Questa mancanza di fiducia sta ostacolando l’adozione della tecnologia in molti casi; il numero di aziende disposte a implementare software open source nei propri ambienti di produzione è effettivamente diminuito del 5%, dal 95% del 2021 al 90%.
- Vuoi essere sicuro online? Consulta la nostra guida ai migliori firewall