Google vient de lancer un nouvel outil appelé OSV-Scanner, un outil open source gratuit qui, selon lui, donne aux développeurs un accès facile aux informations de vulnérabilité pertinentes pour leur projet.
En 2021, Google a lancé le service OSV.dev, une base de données de vulnérabilités open source distribuée, permettant à une variété d’écosystèmes open source et de bases de données de vulnérabilités de publier et de consommer des informations dans un format lisible par machine.
Selon Google, l’OSV-Scanner fournit désormais une interface officiellement prise en charge à cette base de données OSV, qui relie la liste des dépendances d’un projet aux vulnérabilités qui les affectent.
Qu’est-ce que cela offre d’autre?
OSV-Scanner est apparemment intégré à la vérification des vulnérabilités du tableau de bord d’OpenSSF, ce qui signifie qu’il pourra étendre l’analyse des vulnérabilités directes d’un projet pour inclure également les vulnérabilités dans toutes ses dépendances.
Étant donné que les projets logiciels impliquent souvent de nombreuses dépendances tierces issues de bibliothèques de logiciels extérieures, avec trop de versions différentes à suivre manuellement, l’automatisation sera utile pour assurer la sécurité selon Google.
De plus, chaque avis de vulnérabilité provient d’une « source ouverte et faisant autorité », par exemple, la base de données d’avis RustSec.
Google indique que n’importe qui peut suggérer des améliorations aux avis, ce qui se traduit par une base de données de très haute qualité.
Si vous souhaitez essayer OSV-Scanner, vous pouvez vous rendre sur le site Web (s’ouvre dans un nouvel onglet) et suivez les instructions, ou lisez le guide GitHub (s’ouvre dans un nouvel onglet).
Il n’est pas surprenant que Google cherche à injecter des ressources dans la sécurité open source, les vulnérabilités open source restent un point final clé pour que les pirates puissent se frayer un chemin dans les systèmes.
En fait, un rapport de la société de cybersécurité Snyk, en collaboration avec la Linux Foundation, a révélé que deux entreprises sur cinq (41 %) n’ont pas confiance dans la sécurité de leur code open source.
Ce manque de confiance handicape l’adoption de la technologie dans de nombreux cas, le nombre d’entreprises désireuses de déployer des logiciels open source dans leurs environnements de production a en fait chuté de 5 %, passant de 95 % en 2021 à 90 % cette année.
- Vous souhaitez rester en sécurité en ligne ? Consultez notre guide des meilleurs pare-feu