Los programas de software de código abierto suelen depender de terceros, lo que libera a los programadores de la necesidad de implementar nuevas funciones desde cero. Utilizando como recurso su base de datos comunitaria, la nueva herramienta de Google ofrece a los proyectos la posibilidad de supervisar y abordar los riesgos que afectan a las dependencias.
Esta semana, Google ha presentado OSV-Scanner, una herramienta gratuita que permite a los autores de software de código abierto escanear las dependencias en busca de vulnerabilidades conocidas. Sus proyectos se comparan con el esquema OSV de Google y se comprueban mediante el servicio OSV.dev.
OSV-Scanner buscará dependencias transitivas a través de manifiestos, SBOMs y commit hashes. Para ello, vincula la información a la base de datos de vulnerabilidades de código abierto de Google con el fin de encontrar fallos y notificarlos a los desarrolladores.
En febrero, Google creó OSV para ayudar a los desarrolladores de código abierto a localizar y notificar información sobre vulnerabilidades. La disponibilidad de una base de datos puede ser de gran ayuda para los desarrolladores a la hora de determinar qué dependencias de código abierto introducen nuevos peligros. OSV-Scanner es un complemento que automatiza.
Un mínimo de trabajo por parte de Google debería garantizar que el OSV-scanner genere notificaciones de seguridad fáciles de manejar y sobre las que los desarrolladores puedan actuar inmediatamente. OSV pone a disposición una amplia colección de información sobre vulnerabilidades obtenida de fuentes fiables gracias al hecho de que está impulsado por la comunidad. El formato de la base de datos, legible por máquina, se corresponde con los listados de paquetes para desarrolladores.
El OSV-Scanner seguirá desarrollándose. Con el fin de agilizar la programación y la configuración, Google implementará etapas de CI independientes. Además, la organización está trabajando en una base de datos de vulnerabilidades de C/C++ que incluya datos específicos a nivel de commit.
OSV-Scanner debería ser capaz de aprovechar la información sobre vulnerabilidades a nivel de función cuando se realice el análisis del gráfico de llamadas. Las declaraciones VEX podrían producirse mediante el examen de los gráficos de llamadas. Google desea que el escáner recomiende actualizaciones de versiones menores para proyectos en los que dichas actualizaciones solucionen automáticamente los problemas.
Te puede interesar...
Las mejores ofertas y cupones de AliExpress (actualizado)
Las mejores ofertas de PcComponentes (actualizado)
Las mejores ofertas de El Corte Inglés (actualizado)
Apple M2 vs. AMD vs. Intel
Se revela el secreto de la interfaz Glyph del Nothing Phone 1
Los guionistas de Rogue One han pensado una posible secuela
Estos son los productos presentados en el RazerCon 2022
Impresionante la nueva demo de Unity con renderizado en tiempo real: Enemies
Fuente: este post proviene de WikiVersus, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado: