谷歌发布 OSV 开发工具可列出开源项目依赖中的安全漏洞。
开源软件漏洞问题
开源软件开发者会使用大量的工具、库和组件,通过依赖这些工具和库可以更加快速地解决复杂问题。与其他代码类似,这些开源软件依赖的组件中也可能存在安全漏洞。当开源软件使用这些有漏洞的依赖时,其安全性也受到影响。对于使用大量依赖的软件来说,追踪每个组件中的安全问题和评估其对程序本身的潜在影响是一个非常复杂的任务。
谷歌 OSV Scanner 工具
谷歌近日发布了 OSV Scanner 工具,并开源了该工具的源代码。开发者利用该工具可以扫描项目中使用的开源软件依赖中的安全漏洞。扫描工具的数据来源于 2021 年 2 月谷歌发布的分布式开源代码漏洞数据库,可以提供影响开源代码已知的安全问题的相关信息。
图 扫描结果示例
OSV Scanner 是基于 Go 语言开发的,可以生成可靠的、高质量的漏洞信息。基本思想是识别所有的项目依赖,并利用 OSV.DEV 数据库中的数据来识别出相关的漏洞。OSV Scanner 支持 16 种生态系统,涵盖主流的开发语言、Linux 发行版、以及安卓、Linux kernel、OSS-Fuzz 等。
下一步方向
谷歌称下一步将通过构建高质量的数据库将 C/C++ 漏洞纳入支持范围。
OSV 项目地址:https://osv.dev/
OSV 项目源代码参见 GitHub:https://github.com/google/osv-scanner