Google宣佈開源工具OSV-Scanner,該開源漏洞掃描器可提供各種專案的漏洞資訊,加強軟體供應鏈安全。
OSV-Scanner工具是基於Go語言編寫,由開源漏洞(OSV)資料庫支援,可以產生可靠和高品質的漏洞資訊,以弭補開發人員的套裝軟體清單與漏洞資訊之間的空白。掃描器的原理是利用從OSV.dev資料庫中提取的資料,來識別一個專案的所有橫向依賴關係,從而凸顯相關漏洞。
OSV.dev支援16個生態系統,包括所有主要語言、Linux發行版本(Debian和Alpine)、Android、Linux內核和OSS-Fuzz。據統計,OSV.dev安全告警數量比一年前多了1.5倍,其中Linux(27.4%)、Debian(23.2%)、PyPI(9.5%)、Alpine(7.9%)和npm(7.1%)為前5大告警類別。
Google的下一步計畫是建立一個「高品質C/C++漏洞資料庫」,其中將顯示精確的CVE編號及危險等級。
OSV-Scanner 工具是繼 Google 推出開源計畫GUAC (Graph for Understanding Artifact Composition)後近兩個月問世。Google表示OSV-Scanner 工具將是加強軟體供應鏈安全努力的一部分。
Google 呼籲組織開發和佈署通用SLSA框架,以防止篡改,提高完整性,並保護套裝軟體免受潛在威脅,如Log4j漏洞和SolarWinds事件等風險。
Google表示,軟體供應鏈攻擊通常需要強大的技術才能和長期的承諾才能實現。複雜的攻擊行為讓大多數組織都很容易受到軟體供應鏈攻擊威脅,因為攻擊者會花時間將目標鎖定在支援標的物的第三方供應商,藉由這種連結關係,進而攻擊最終標的物。
本文轉載自thehackernews.com。
網頁設計.RWD響應式網站 / 教育人文類
發展和推動大學商學院教職員的培訓,從大學商學院的研究及其他協會保持密切聯繫到學術和教育學院。AACSB提供出版品和報告以提升商學院的教育水準。
網頁設計.RWD響應式網站 / 電子工業類
網站技術:PHP . Javascript/MySql
提供北美、大陸及菲律賓地區的各式照明,以及太陽能建置相關照明燈具服務。
精選專案.網頁設計.RWD響應式網站.企業形象網站 / 建築設計類
網站技術:PHP . Javascript/MySql
RWD響應式網站設計/網頁設計,網頁切版,後台程式管理
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策