Google komt met de deps.dev API. Hiermee kunnen ontwikkelaars makkelijk gebruikte open-source code op kwetsbaarheden en andere problemen scannen.
De API is een uitbreiding van het in 2021 door Google gestarte programma deps.dev. Met dit programma wil Google meer inzicht geven in de securitydata van meer dan 5 miljoen open-source packages.
Hiermee controleren ontwikkelaars of de in hun ontwikkeltrajecten gebruikte open-source packages bepaalde kwetsbaarheden hebben. Ook geeft het informatie over bijvoorbeeld licenties.
deps.dev API
De deps.dev API moet het voor ontwikkelaars makkelijker maken de onderliggende dataset van het programma te gebruiken. Dit door het aanmaken van geautomatiseerde workflows. Deze workflows gebruiken de gegevens uit de deps.dev dataset om efficiënter kwetsbaarheden en andere mogelijke problemen te ontdekken.
Bijvoorbeeld via een plugin die deps.dev integreert met de eigen code-editor van de ontwikkelaars. Deze plugin detecteert wanneer een ontwikkelaar een open-source package downloadt en scant de package vervolgens automatisch op kwetsbaarheden. Mogelijke licentieproblemen worden op dezelfde manier herkend.
Overige functionaliteit
Overige functionaliteit is integratie met CI/CD tooling en een ‘real dependency’ graph-eigenschap die de code van packages scant en vervolgens een meer gedetailleerde lijst van de onderdelen presenteert.
Verder introduceert de techgigant ondersteuning van hash-zoekvragen. Hiermee kunnen ontwikkelaars makkelijker supply chain-aanvallen ontdekken. Bij dit soort aanvallen voegen cybercriminelen kwaadaardige code toe aan de applicaties van bedrijven.
Met deze nieuwe ondersteuning kunnen ontwikkelaars snel identificeren of via een open-source package kwaadaardige code is toegevoegd.
16 uur geleden
