当地时间12月13日,谷歌宣布开源OSV-Scanner,可以访问各个项目的漏洞信息,加强软件的安全性供应链。谷歌软件工程师RexPan向媒体介绍,该工具使用Go语言编写,并得到开源漏洞(OSV)数据库的支持,可以生成可靠、高质量的漏洞信息,填补了开发者包列表与现有漏洞信息之间的空白。漏洞数据库信息。空格。扫描器通过使用从OSV.dev数据库中提取的数据来识别项目的所有横向依赖关系并突出显示相关漏洞。OSV.dev数据库拥有38,000名贡献者,支持16个生态系统,包括所有主要语言、Linux发行版(Debian和Alpine)、Android、Linux内核和OSS-Fuzz。安全警报数量超过一年前的1.5个,Linux(27.4%)、Debian(23.2%)、PyPI(9.5%)、Alpine(7.9%)和npm(7.1%)占据警报的前五名。作为下一步,谷歌计划建立一个“高质量的数据库”来支持C/C++漏洞,包括向CVE添加“精确的提交级元数据”。10月20日,谷歌还启动了开源项目GUAC(GraphforUnderstandingArtifactCompositionGUAC),以加强软件供应链的安全性。GUAC从不同来源收集并综合执行此类分析所需的所有信息,例如软件物料清单(SBOM)、已知漏洞信息以及关于如何构建特定软件的签名证书。用户将能够从GUAC查询有关其软件中最常用的关键组件、相关依赖项以及任何潜在弱点和漏洞的信息。上周,Google还发布了《安全展望》报告,呼吁组织开发和部署通用的SLSA框架,以防止篡改、提高完整性并保护软件包免受潜在威胁。该公司的其他建议包括承担额外的开源安全责任,并采取更全面的方法来应对风险,例如近年来的Log4j漏洞和SolarWinds事件。据谷歌称,“软件供应链攻击通常需要强大的技术人才和长期承诺才能实现。经验丰富的行为者更有可能具有进行此类攻击的意图和能力。大多数组织都容易受到软件供应链攻击,因为攻击者花时间瞄准与客户网络建立可信连接的第三方供应商,然后利用这种信任深入挖掘最终目标的网络。》参考链接:https://thehackernews.com/2022/12/google-launches-largest-distributed.html
