Google wil de veiligheid van open-source software verder opschroeven. Met OSV-Scanner wil de techgigant het mogelijk maken dat ontwikkelaars toegang krijgen tot de grote hoeveelheid informatie over kwetsbaarheden in open-sourceprojecten.
De gratis scanner is volgens de techgigant de grootse door de ontwikkelcommunity aanpasbare database op het gebied van kwetsbaarheden in open-source software. Ontwikkelaars kunnen met de tool automatisch hun code en dependencies matchen tegen lijsten van bekende kwetsbaarheden in open-source software. Daarnaast kunnen zij checken of er tegen de kwetsbaarheden patches beschikbaar zijn.
Op deze manier kunnen ontwikkelaars gedurende de hele software supply-chain potentiële kwetsbaarheden ontdekken en patchen. Hiermee worden in het ontwikkelproces potentiële toegangspunten geëlimineerd en krijgen cybercriminelen geen kans kwetsbaarheden te misbruiken.
Eerdere OSV-releases
De komst van de OSV-Scanner-tool is een gevolg van eerdere stappen van Google voor het veiliger maken van open-source software. Vorig jaar werden het Open Source Vulnerability (OSV)-schema en de OSV.dev service, de eerste gedistribueerde open-source vulnerability database, geïntroduceerd.
Uitbreidingen
Google is van plan de OSV-functionaliteit de komende tijd uit te bouwen. De OSV-Scanner moet worden uitgebreid met features voor een bredere integratie met workflows van ontwikkelaars via standalone CI-integraties, voor het plannen en in de gaten houden van kwetsbaarheden.
Ook moet de kwetsbaarhedendatabase meer informatie over C/C++-kwetsbaarheden krijgen. Verder zal functionaliteit worden toegevoegd als graph-analytics en de mogelijkheid automatisch kwetsbaarheden op te lossen door suggesties voor minimale versie-updates en daarbij een maximale impact hebben.
Tip: Google Cloud beschermt klanten tegen malafide Cobalt Strike-aanvallen
55 minuten geleden
