谷歌軟件工程師Rex Pan向媒體介紹,該工具基Go語言編寫,由開源漏洞(OSV)數據庫提供支持,可以生成可靠和高質量的漏洞信息,填補了開發人員的軟件包清單與漏洞數據庫信息之間的空白。
掃描儀的原理是利用從OSV.dev數據庫中提取的數據,來識別一個項目的所有橫向依賴關系同時突出相關的漏洞。
OSV.dev數據庫擁有3.8萬個共建者,支持16個生態系統,包括所有主要語言、Linux發行版(Debian和Alpine)、安卓、Linux內核和OSS-Fuzz。安全告警數量比一年前的1.5個多,其中Linux(27.4%)、Debian(23.2%)、PyPI(9.5%)、Alpine(7.9%)和npm(7.1%)占據告警量前五。
下一步,谷歌計劃建立一個“高質量數據庫”來支持C/C++漏洞,包括向CVEs添加 “精確的提交級元數據”。
10月20日,谷歌還推出了開源計劃GUAC(Graph for Understanding Artifact CompositionGUAC),加強軟件供應鏈安全。
GUAC收集并綜合執行此類分析所需的源自不同來源的所有信息,如軟件物料清單 (SBOM)、已知漏洞信息和關于某特定軟件如何構建的簽名證明書等。用戶將能夠從GUAC查詢其軟件中最常使用的關鍵組件信息、相關依賴信息和任意潛在弱點和漏洞信息。
上周,谷歌還發布了一份《安全展望》報告,呼吁組織開發和部署一個通用的SLSA框架,以防止篡改,提高完整性,并保護軟件包免受潛在威脅。
該公司提出的其他建議包括承擔額外的開源安全責任,并采用更全面的方法來解決近年來Log4j漏洞和SolarWinds事件等風險。
谷歌表示,“軟件供應鏈攻擊通常需要強大的技術才能和長期的承諾才能實現。復雜的行為者更有可能具有進行這些類型攻擊的意圖和能力。大多數組織都很容易受到軟件供應鏈攻擊,因為攻擊者會花時間瞄準與客戶網絡有可信連接的第三方提供商。然后,他們利用這種信任更深入地挖掘最終目標的網絡!
本文內容不用于商業目的,如涉及知識產權問題,請權利人聯系51Testing小編(021-64471599-8017),我們將立即處理
亚洲春色校园小说_欧洲精品色在线观看视频_国产思思99RE99在线观看_天天躁日日躁狠狠躁日日躁