為湘陰等地區(qū)用戶(hù)提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及湘陰網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為網(wǎng)站設(shè)計(jì)制作、成都做網(wǎng)站、湘陰網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專(zhuān)業(yè)、用心的態(tài)度為用戶(hù)提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶(hù)的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

開(kāi)源開(kāi)發(fā)人員可在項(xiàng)目使用 OSV-Scanner，透過(guò)比對(duì)依賴(lài)項(xiàng)目和 OSV 漏洞資料庫(kù)，找出項(xiàng)目的依賴(lài)項(xiàng)目中所存在的漏洞。

Google 推出免費(fèi)工具 OSV-Scanner（https://github.com/google/osv-scanner），供開(kāi)源開(kāi)發(fā)人員可以更簡(jiǎn)單地存取和項(xiàng)目相關(guān)的漏洞資訊。

去年 Google 發(fā)布開(kāi)源漏洞（Open Source Vulnerability）架構(gòu)并且啟動(dòng) OSV.dev 服務(wù)，完成第一個(gè)分散式開(kāi)源漏洞數(shù)據(jù)庫(kù)，官方解釋?zhuān)琌SV 允許不同的開(kāi)源生態(tài)系和漏洞資料庫(kù)，能夠以一種簡(jiǎn)單、精確且機(jī)器可讀的格式發(fā)布和使用資訊。

而 OSV-Scanner 則是 OSV 資料庫(kù)的下一步，這是由官方支援的前端，能夠?qū)㈨?xiàng)目的依賴(lài)項(xiàng)目列表，和影響項(xiàng)目的漏洞相關(guān)聯(lián)。由于軟件項(xiàng)目通常擁有大量的依賴(lài)項(xiàng)目，而每個(gè)依賴(lài)項(xiàng)目可能包含現(xiàn)有已知的漏洞，或是尚待發(fā)現(xiàn)的新漏洞，但因?yàn)橐蕾?lài)項(xiàng)目和版本太多，開(kāi)發(fā)人員通常難以手動(dòng)追蹤，因此需要自動(dòng)化來(lái)解決這項(xiàng)困難。

OSV-Scanner 會(huì)自動(dòng)比對(duì)項(xiàng)目與其依賴(lài)項(xiàng)目和已知漏洞列表，并于存在修補(bǔ)程式或是更新時(shí)通知開(kāi)發(fā)者，Google 提到，OSV-Scanner 能夠生成可靠、高品質(zhì)的漏洞資訊，以縮小開(kāi)發(fā)人員軟件套件列表和 OSV 資料庫(kù)中的漏洞信息落差。

由于 OSV-Scanner 使用開(kāi)源分散式 OSV.dev 數(shù)據(jù)庫(kù)，因此官方提到，OSV-Scanner 與閉源數(shù)據(jù)庫(kù)的掃瞄器相比更具優(yōu)勢(shì)，包括每個(gè)安全通報(bào)都是來(lái)自開(kāi)放且權(quán)威的來(lái)源，所有人都可以提出改進(jìn)建議，因此能夠共同維護(hù)高品質(zhì)資料庫(kù)，而且OSV 格式以機(jī)器可讀的格式，儲(chǔ)存有關(guān)受影響的套件版本資訊，該格式能精確地對(duì)應(yīng)到開(kāi)發(fā)者的軟件套件列表。

OSV-Scanner 會(huì)先分析清單、SBOM 并提交雜湊（hash）值，找到所有正在使用的傳遞（transitive）依賴(lài)項(xiàng)目，接著OSV-Scanner 會(huì)將該資訊和 OSV 數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，以顯示開(kāi)發(fā)者項(xiàng)目相關(guān)的漏洞。同時(shí) OSV-Scanner 還整合到 OpenSSF 計(jì)分卡漏洞檢查，可將漏洞分析從項(xiàng)目的直接漏洞，擴(kuò)及所有依賴(lài)項(xiàng)目的漏洞，代表采用 OpenSSF 計(jì)分卡的項(xiàng)目能夠獲得更全面的安全檢查。

作者 |?iThome 李建興

翻譯 |?劉天棟.Ted

編輯 | 張可芯

相關(guān)閱讀?|?Related Reading

開(kāi)源碼力圓桌文字稿

投身開(kāi)源，需要持之以恒的熱愛(ài)與貢獻(xiàn) —— Apache Spark Committer 姜逸坤

開(kāi)源社簡(jiǎn)介

開(kāi)源社成立于 2014 年，是由志愿貢獻(xiàn)于開(kāi)源事業(yè)的個(gè)人成員，依 “貢獻(xiàn)、共識(shí)、共治” 原則所組成，始終維持廠商中立、公益、非營(yíng)利的特點(diǎn)，是最早以 “開(kāi)源治理、國(guó)際接軌、社區(qū)發(fā)展、開(kāi)源項(xiàng)目” 為使命的開(kāi)源社區(qū)聯(lián)合體。開(kāi)源社積極與支持開(kāi)源的社區(qū)、企業(yè)以及政府相關(guān)單位緊密合作，以 “立足中國(guó)、貢獻(xiàn)全球” 為愿景，旨在共創(chuàng)健康可持續(xù)發(fā)展的開(kāi)源生態(tài)，推動(dòng)中國(guó)開(kāi)源社區(qū)成為全球開(kāi)源體系的積極參與及貢獻(xiàn)者。

2017 年，開(kāi)源社轉(zhuǎn)型為完全由個(gè)人成員組成，參照 ASF 等國(guó)際頂級(jí)開(kāi)源基金會(huì)的治理模式運(yùn)作。近八年來(lái)，鏈接了數(shù)萬(wàn)名開(kāi)源人，集聚了上千名社區(qū)成員及志愿者、海內(nèi)外數(shù)百位講師，合作了近百家贊助、媒體、社區(qū)伙伴。

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級(jí)流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級(jí)服務(wù)器適合批量采購(gòu)，新人活動(dòng)首月15元起，快前往官網(wǎng)查看詳情吧

分享標(biāo)題：Google釋出開(kāi)源軟件漏洞掃描工具OSV-Scanner?-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)地址：http://m.newbst.com/article24/cogeje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站排名、關(guān)鍵詞優(yōu)化、網(wǎng)站導(dǎo)航、標(biāo)簽優(yōu)化、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)