“审查数以千计的依赖关系不是开发人员可以自己完成的。”谷歌开源安全团队软件工程师 Rex Pan 在发布的博文中说道。根据官方介绍,与闭源漏洞数据库和扫描器相比,OSV-Scanner 主要有以下优势:
-
每个咨询都有一个开放和权威的来源(例如 RustSec 咨询数据库)
-
任何人都可以对咨询提出改进建议,从而得到一个超高质量的数据库 -
OSV 格式以机器可读的格式明确存储受影响版本的信息,并精确映射到开发人员的软件包列表上 -
更少、更可操作的漏洞通知,减少了企业解决漏洞所需的时间
对于 OSV-Scanner 的未来, Pan 介绍道,团队首先是通过提供独立的 CI 操作进一步与开发人员工作流集成,允许轻松设置和安排以跟踪新漏洞。团队还将持续改进 C/C++ 漏洞(由于缺乏标准包管理器而面临的挑战)、为 OSV-Scanner 添加独特的功能、提供 VEX 支持等。
往期推荐
想要了解Go更多内容,欢迎扫描下方👇关注公众号,回复关键词 [实战群] ,就有机会进群和我们进行交流
分享、在看与点赞Go 
原文始发于微信公众号(GoCN):谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论