Google vient de publier un nouvel outil appelé OSV-Scanner, un outil gratuit et open source qui, selon lui, donne aux développeurs un accès facile aux informations de vulnérabilité pertinentes pour leur projet.
En 2021, Google a lancé le service OSV.dev, une base de données de vulnérabilités open source distribuée, qui permet à une variété d'écosystèmes open source et de bases de données de vulnérabilités de publier et de consommer des informations dans un format lisible par l'homme.
Selon Google, OSV-Scanner fournit désormais une interface officiellement prise en charge à cette base de données OSV, qui relie la liste des dépendances d'un projet aux vulnérabilités qui les affectent.
Que propose-t-il d'autre ?
Apparemment, OSV-Scanner est intégré au vérificateur de vulnérabilité du tableau de bord d'OpenSSF, ce qui signifie que vous pourrez étendre l'analyse des vulnérabilités directes dans un projet pour inclure également les vulnérabilités dans toutes ses dépendances.
Étant donné que les projets logiciels impliquent souvent de nombreuses dépendances tierces sur des bibliothèques de logiciels externes, avec trop de versions différentes à suivre manuellement, l'automatisation sera utile pour assurer la sécurité selon Google.
De plus, chaque avis de vulnérabilité provient d'une "source ouverte faisant autorité", par exemple, la base de données d'avis RustSec.
Google dit que n'importe qui peut suggérer des améliorations aux avis, ce qui se traduit par une base de données de très haute qualité.
Si vous souhaitez essayer OSV-Scanner, vous pouvez vous rendre sur le site Web (s'ouvre dans un nouvel onglet) et suivre les instructions, ou lire le guide sur GitHub (s'ouvre dans un nouvel onglet).
Il n'est pas surprenant que Google cherche à injecter des ressources dans la sécurité open source, les vulnérabilités open source restent un point final clé pour que les pirates informatiques pénètrent dans les systèmes.
En fait, un rapport de la société de cybersécurité Snyk, en collaboration avec la Linux Foundation, a révélé que deux entreprises sur cinq (41 %) ne font pas confiance à la sécurité de leur code open source.
Ce manque de confiance handicape l'adoption de la technologie dans de nombreux cas, le nombre d'entreprises désireuses de déployer des logiciels open source dans leurs environnements de production a en fait chuté de 5 %, passant de 95 % en 2021 à 90 % este año.
- Voulez-vous être en sécurité en ligne ? Consultez notre guide des meilleurs pare-feu