谷歌推出OSV-Scanner一种新的开源安全扫描工具

• 谷歌宣布了一款新工具 OSV-Scanner，这是一款免费的扫描仪，开源开发人员可以使用它来获取与其项目相关的漏洞详细信息。
• 通过设计 OSV-Scanner，谷歌旨在通过轻松识别开源软件中的漏洞来提高生态系统的安全性。
• OSV-Scanner 提供了一种自动化功能，可以将开发人员的代码和依赖项与已知漏洞列表进行匹配。

---

谷歌宣布推出OSV-Scanner，这是一款免费的开源扫描器，旨在让开发人员轻松访问与其开源项目相关的漏洞信息，将许多开源生态系统的漏洞数据库整合在一起。

轻松获取漏洞信息

此前，谷歌于 2021 年推出了开源漏洞 (OSV) 模式和OSV.dev服务，这是第一个分布式开源漏洞数据库。OSV 将所有不同的开源生态系统的漏洞数据库以一种机器可读的格式进行发布和使用. 该数据库支持Linux发行版 Debian、Android、Linux Kernel 、PyPI、OSS-Fuzz等 16 个生态系统，包含超过 38,000 条公告。

谷歌表示，下一步，随着 OSV-Scanner 的推出，该公司将帮助组织轻松访问与其项目相关的漏洞。OSV-Scanner 为这个 OSV 数据库提供了一个官方支持的前端，它将项目的依赖项列表与影响它们的漏洞联系起来。谷歌在其博客文章中注明。

« 软件项目通常建立在大量依赖项之上——您将外部软件库合并到项目中以添加功能，而无需从头开始开发。每个依赖项都可能包含现有的已知漏洞或可能随时发现的新漏洞。依赖项和版本太多，无法手动跟踪，因此需要自动化。»

这家科技巨头补充说，扫描器通过将代码和依赖项与已知漏洞列表进行匹配来实现自动化功能。然后它会通知开发人员是否需要补丁或更新。

可通过 OSV.dev网站获得，OSV-Scanner 的工作方法是首先识别项目中的所有依赖项，然后将信息与 OSV 数据库连接以获取有关相关漏洞的更多详细信息。

OSV-Scanner 还集成了OpenSSF Scorecard的漏洞检查。它可以检测项目的直接漏洞以及所有依赖项中的安全缺陷。新工具通过记分卡定期评估项目，记分卡是项目安全性的综合衡量标准。

构建最好的漏洞管理工具

谷歌表示还有很多工作要做。它对 OSV-Scanner 的计划不仅仅是构建一个简单的漏洞扫描器。该公司的目标是构建最好的漏洞管理工具，这也将最大限度地减少修复已知漏洞的负担。以下是谷歌实现这一目标的一些想法：

• 第一步 是通过提供独立的 CI 操作进一步与开发人员工作流集成，从而允许轻松设置和安排以跟踪新漏洞。
• 改进 C/C++ 漏洞支持：C/C++ 是漏洞管理最困难的生态系统之一，因为缺乏识别 C/C++ 软件的规范包管理器。OSV 通过向 CVE 添加精确的提交级别元数据来构建高质量的 C/C++ 漏洞数据库，从而填补了这一空白。
• 他们还希望为 OSV-Scanner 添加独特的功能，例如通过调用图分析利用特定功能级别漏洞信息的能力，以及能够通过建议提供最大影响的最小版本更新来自动修复漏洞。
• VEX 支持：使用调用图分析等自动生成 VEX 语句。