Google acaba de lanzar una nueva herramienta llamada OSV-Scanner, una herramienta gratuita de código abierto que, según dice, brinda a los desarrolladores un fácil acceso a la información de vulnerabilidad relevante para su proyecto.
En 2021, Google lanzó el servicio OSV.dev, una base de datos de vulnerabilidades de código abierto distribuida, que permite que una variedad de ecosistemas de código abierto y bases de datos de vulnerabilidades publiquen y consuman información en formato legible por humanos.
Según Google, OSV-Scanner ahora proporciona una interfaz compatible oficialmente con esta base de datos OSV, que vincula la lista de dependencias de un proyecto con las vulnerabilidades que los afectan.
Cos'altro offre?
Aparentemente, OSV-Scanner está integrado con Dashboard Vulnerability Checker de OpenSSF, lo que significa que podrá ampliar el escaneo de las vulnerabilidades directas de un proyecto para incluir también vulnerabilidades en todas sus dependencias.
Dado que los proyectos de software a menudo involucran muchas dependencias de terceros de bibliotecas de software externas, con demasiadas versiones diferentes para rastrear manualmente, la automatización será útil para garantizar la seguridad según Google.
Además, cada aviso de vulnerabilidad proviene de una «fuente abierta y autorizada», por ejemplo, la base de datos de avisos de RustSec.
Google dice que cualquiera puede sugerir mejoras a las reseñas, lo que da como resultado una base de datos de muy alta calidad.
Si desea probar OSV-Scanner, puede ir al sitio web (se abre en una pestaña nueva) y seguir las instrucciones, o leer la guía de GitHub (se abre en una pestaña nueva).
No sorprende que Google busque inyectar recursos en la seguridad de código abierto, las vulnerabilidades de código abierto siguen siendo un punto final clave para que los piratas informáticos entren a la fuerza en los sistemas.
De hecho, un informe de la firma de seguridad cibernética Snyk, en conjunto con Linux Foundation, encontró que dos de cada cinco empresas (41%) no confían en la seguridad de su código fuente abierto.
Ce manque de confiance handicape l’adoption de la technologie dans de nombreux cas, le nombre d’entreprises désireuses de déployer des logiciels open source dans leurs environnements de production a en fait chuté de 5 %, passant de 95 % en 2021 à 90 % este año.
- Vuoi essere sicuro online? Consulta la nostra guida ai migliori firewall
