Google acaba de lanzar una nueva herramienta llamada OSV-Scanner, una herramienta gratuita de código abierto que, según dice, brinda a los desarrolladores un fácil acceso a la información de vulnerabilidad relevante para su proyecto.
En 2021, Google lanzó el servicio OSV.dev, una base de datos de vulnerabilidades de código abierto distribuida, que permite que una variedad de ecosistemas de código abierto y bases de datos de vulnerabilidades publiquen y consuman información en un formato legible por máquina.
Según Google, OSV-Scanner ahora proporciona una interfaz con soporte oficial para esta base de datos OSV, que conecta la lista de dependencias de un proyecto con las vulnerabilidades que los afectan.
¿Qué más ofrece esto?
Aparentemente, OSV-Scanner está integrado en la verificación de vulnerabilidades de la tarjeta de puntuación de OpenSSF, lo que significa que podrá ampliar el análisis de solo las vulnerabilidades directas de un proyecto para incluir también vulnerabilidades en todas sus dependencias.
Dado que los proyectos de software a menudo involucran muchas dependencias de terceros que provienen de bibliotecas de software externas, con demasiadas versiones diferentes para realizar un seguimiento manual, la automatización será útil para garantizar la seguridad según Google.
Además, cada aviso de vulnerabilidad proviene de una «fuente abierta y autorizada», por ejemplo, la base de datos de avisos de RustSec.
Google dice que cualquiera puede sugerir mejoras a los avisos, lo que da como resultado una base de datos de muy alta calidad.
Si está interesado en probar OSV-Scanner, puede dirigirse al sitio web (se abre en una pestaña nueva) y sigue las instrucciones, o lee la guía de GitHub (se abre en una pestaña nueva).
No sorprende que Google esté buscando invertir recursos en Open Source Security, las vulnerabilidades de código abierto siguen siendo un punto final clave para que los piratas informáticos encuentren su camino hacia los sistemas.
De hecho, un informe de la empresa de seguridad cibernética Snyk, en conjunto con la Fundación Linux, encontró que dos de cada cinco (41%) empresas no confían en la seguridad de su código fuente abierto.
Esta falta de confianza está obstaculizando la adopción de la tecnología en muchos casos, la cantidad de empresas dispuestas a implementar software de código abierto dentro de sus entornos de producción en realidad cayó un 5 %, del 95 % en 2021 al 90 % este año.
- ¿Está interesado en mantenerse seguro en línea? Consulte nuestra guía de los mejores cortafuegos