Google释出开源软件漏洞扫描工具OSV-Scanner​-创新互联

为湘阴等地区用户提供了全套网页设计制作服务，及湘阴网站建设行业解决方案。主营业务为网站设计制作、成都做网站、湘阴网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！

开源开发人员可在项目使用 OSV-Scanner，透过比对依赖项目和 OSV 漏洞资料库，找出项目的依赖项目中所存在的漏洞。

Google 推出免费工具 OSV-Scanner（https://github.com/google/osv-scanner），供开源开发人员可以更简单地存取和项目相关的漏洞资讯。

去年 Google 发布开源漏洞（Open Source Vulnerability）架构并且启动 OSV.dev 服务，完成第一个分散式开源漏洞数据库，官方解释，OSV 允许不同的开源生态系和漏洞资料库，能够以一种简单、精确且机器可读的格式发布和使用资讯。

而 OSV-Scanner 则是 OSV 资料库的下一步，这是由官方支援的前端，能够将项目的依赖项目列表，和影响项目的漏洞相关联。由于软件项目通常拥有大量的依赖项目，而每个依赖项目可能包含现有已知的漏洞，或是尚待发现的新漏洞，但因为依赖项目和版本太多，开发人员通常难以手动追踪，因此需要自动化来解决这项困难。

OSV-Scanner 会自动比对项目与其依赖项目和已知漏洞列表，并于存在修补程式或是更新时通知开发者，Google 提到，OSV-Scanner 能够生成可靠、高品质的漏洞资讯，以缩小开发人员软件套件列表和 OSV 资料库中的漏洞信息落差。

由于 OSV-Scanner 使用开源分散式 OSV.dev 数据库，因此官方提到，OSV-Scanner 与闭源数据库的扫瞄器相比更具优势，包括每个安全通报都是来自开放且权威的来源，所有人都可以提出改进建议，因此能够共同维护高品质资料库，而且OSV 格式以机器可读的格式，储存有关受影响的套件版本资讯，该格式能精确地对应到开发者的软件套件列表。

OSV-Scanner 会先分析清单、SBOM 并提交杂凑（hash）值，找到所有正在使用的传递（transitive）依赖项目，接著OSV-Scanner 会将该资讯和 OSV 数据库进行比对，以显示开发者项目相关的漏洞。同时 OSV-Scanner 还整合到 OpenSSF 计分卡漏洞检查，可将漏洞分析从项目的直接漏洞，扩及所有依赖项目的漏洞，代表采用 OpenSSF 计分卡的项目能够获得更全面的安全检查。

作者 | iThome 李建兴

翻译 | 刘天栋.Ted

编辑 | 张可芯

相关阅读 | Related Reading

开源码力圆桌文字稿

投身开源，需要持之以恒的热爱与贡献 —— Apache Spark Committer 姜逸坤

开源社简介

开源社成立于 2014 年，是由志愿贡献于开源事业的个人成员，依 “贡献、共识、共治” 原则所组成，始终维持厂商中立、公益、非营利的特点，是最早以 “开源治理、国际接轨、社区发展、开源项目” 为使命的开源社区联合体。开源社积极与支持开源的社区、企业以及政府相关单位紧密合作，以 “立足中国、贡献全球” 为愿景，旨在共创健康可持续发展的开源生态，推动中国开源社区成为全球开源体系的积极参与及贡献者。

2017 年，开源社转型为完全由个人成员组成，参照 ASF 等国际顶级开源基金会的治理模式运作。近八年来，链接了数万名开源人，集聚了上千名社区成员及志愿者、海内外数百位讲师，合作了近百家赞助、媒体、社区伙伴。

你是否还在寻找稳定的海外服务器提供商？创新互联www.cdcxhl.cn海外机房具备T级流量清洗系统配攻击溯源，准确流量调度确保服务器高可用性，企业级服务器适合批量采购，新人活动首月15元起，快前往官网查看详情吧

分享标题：Google释出开源软件漏洞扫描工具OSV-Scanner​-创新互联
网页地址：https://www.cdcxhl.com/article24/cogeje.html

成都网站建设公司_创新互联，为您提供外贸网站建设、网站排名、关键词优化、网站导航、标签优化、微信小程序

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联