谷歌推出新的开源安全扫描工具

谷歌刚刚推出了一款名为OSV-Scanner的新工具，这是一款免费的开源工具，据称它可以让开发人员轻松访问与其项目相关的漏洞信息。

2021年，Google推出了分布式开源漏洞数据库OSV.dev服务，使各种开源生态系统和漏洞数据库能够以一种机器可读的格式发布和使用信息。

据谷歌称，OSV-Scanner现在为这个OSV数据库提供了一个官方支持的前端，它将项目的依赖项列表与影响它们的漏洞联系起来。

OSV-Scanner显然已集成到OpenSSF的记分卡漏洞检查中，这意味着它将能够将分析从仅项目的直接漏洞扩展到还包括其所有依赖项中的漏洞。

由于软件项目通常涉及许多来自外部软件库的第三方依赖项，而且有太多不同的版本需要手动跟踪，因此自动化将有助于确保安全性，据谷歌称。

此外，每个漏洞咨询均来自“开放且权威的来源”，例如RustSec咨询数据库。

谷歌表示，任何人都可以提出改进意见的建议，从而形成一个非常高质量的数据库。

如果您有兴趣试用OSV-Scanner，您可以访问该网站(在新标签页中打开)并按照说明进行操作，或者阅读GitHub指南(在新标签页中打开).

谷歌希望将资源投入到开源安全领域并不奇怪，开源漏洞仍然是黑客进入系统的关键端点。

事实上，网络安全公司Snyk与Linux基金会联合发布的一份报告发现，五分之二(41%)的公司对其开源代码的安全性没有信心。

在许多情况下，这种信任的缺乏阻碍了该技术的采用，愿意在其生产环境中部署开源软件的公司数量实际上下降了5%，从2021年的95%下降到今年的90%。