Google推出新工具助力开源开发者获取漏洞信息

关键点总结

• Google发布了名为OSV-Scanner的工具，旨在帮助开源开发者更方便地获取与其项目相关的漏洞信息。
• 该工具能自动匹配开发者的代码与已知漏洞列表，提供快速反馈。
• 越来越多的开源安全风险来源于“传递依赖”，此工具能有效检测并帮助管理这些风险。

Google最近推出了一款免费工具，名为OSV- Scanner，旨在帮助开源开发者更轻松地获取与其项目相关的漏洞信息。该工具基于Go语言开发，提供了自动化功能，可以将开发者的代码及其依赖项与已知漏洞列表进行匹配，并在需要补丁或更新时迅速反馈。

大部分软件项目都是建立在大量依赖的基础上——开发者并不从零开始，而是将外部软件库融入项目，以增加额外的功能。然而，开源包中常常包含未文档化的代码片段，这些代码片段来自其他库。这种做法产生了所谓的“传递依赖”，这意味着软件中可能包含多个层次的漏洞，手动跟踪起来非常困难。

实际上，传递依赖已经成为开源安全风险中日益增长的来源。根据EndorLabs的一份最新报告，95%的都出现在传递或间接依赖中。另外，Sonatype的另一份报告也指出，传递依赖占据了影响开源的每七个漏洞中的六个。

Google表示，这款新工具将通过分析清单、软件材料单(SBOM)（如可用）和提交哈希来开始寻找这些传递依赖。接着，它将连接到开源漏洞(OSV)数据库，展示相关的漏洞信息。

Google开源安全团队的软件工程师RexPan在中提到：“OSV-Scanner生成可靠、高质量的漏洞信息，弥补了开发者的库清单与漏洞数据库之间的差距。”

因为任何人都可以改进安全 advisories，Pan表示，服务与其他封闭源的建议数据库和扫描器相比，其数据库质量较高。此外，OSV格式以机器可读的方式明确存储受影响版本的信息，能够准确映射到开发者的库清单。这些特性都能帮助减少并提供更具有可操作性的漏洞通知，从而使补丁过程更高效。

至于下一步，Google表示他们正在，同时为OSV- Scanner添加独特的功能，例如通过建议最小版本提升来自动，以达到最大的影响力。