Google представи инструмент, обезпечаващ сигурността на проекти с открит код
Google всеобщо наличен потребен инструмент, ориентиран към разработчици на планове с открит код, който ще им оказва помощ в откриването на недостатъци в продуктите им по-лесно.
Log4Shell, уязвимостта в извънредно известната Java библиотека Log4j, се яви следващото доказателство за рисковете, свързани с така наречен „ офанзиви към продуктовите вериги “, в които вектор на офанзива към потребителите на даден артикул се явява уязвим съставен елемент от самия артикул. Проектите с открит код идват със своите мощни и слаби страни. Ако от една страна откритата им природа да допуска по-лесната ревизия и надзор над отбраната, то постоянно те постоянно не са толкоз добре обслужвани, колкото закритите планове. Вземайки поради множеството зависимости от външни източници, които са интегрирани в доста от днешните стратегии, то обезпечаването на бистрота над проблемите в тези зависимости може да играе сериозно значима роля за действието и сигурността на сходни артикули.
Тук идва и ролята на OSV-Scanner. Написан на Go, OSV-Scanner обезпечава автоматизирана опция за сравнение на кода на разработчика и зависимостите в него с подготвени описи на към този момент известни уязвимости. При засичане на такива се обезпечава мигновена противоположна връзка за съществуването на съответни актуализации.
Както привеждат от SCMagazine, софтуерните планове през днешния ден разчитат на голям брой зависимости, като някои пакети съдържат недокументиран код, извлечен от други библиотеки. Тази процедура основава това, което бива определяно, като „ транзитивни зависимости “ в софтуера и може да докара до състояние, при което един план да съдържа голям брой пластове с уязвимости, които е мъчно да бъдат проследени ръчно.
Според разнообразни изследвания тези транзитивни зависимости са се трансформирали във все по-голям проблем напоследък. Така да вземем за пример, съгласно проучване на Endor Labs, 95% от уязвимостите в открити планове идват точно от транзитивни или непреки зависимости, а отчет на Sonatype показва, че транзитивните зависимости са виновни за шест от всеки седем открити уязвимости в открития код.
Гугъл изясняват, че скенерът открива тези транзитивни зависимости, като проучва манифестите, SBOM (software bill of materials) записите, където има такива и хеш сумите на добавените промени. След тази инспекция, OSV-Scanner се свързва с базата данни на OSV (Open Software Vulnerabilities), с цел да покаже съответните проблеми.
„ OSV-Scanner доставя надеждна и висококачествена информация за уязвимостите, покривайки дупката сред листата с пакетите на разработчиците и информацията в базата данни с уязвимости “, Рекс Пан, софтуерен инженер от Open Source екипа в Гугъл.
Коментирайте публикацията в нашите. За да научите първи най-важното, харесайте страницата ни във, и ни последвайте в и или изтеглете приложението на Kaldata.com за, и!
Log4Shell, уязвимостта в извънредно известната Java библиотека Log4j, се яви следващото доказателство за рисковете, свързани с така наречен „ офанзиви към продуктовите вериги “, в които вектор на офанзива към потребителите на даден артикул се явява уязвим съставен елемент от самия артикул. Проектите с открит код идват със своите мощни и слаби страни. Ако от една страна откритата им природа да допуска по-лесната ревизия и надзор над отбраната, то постоянно те постоянно не са толкоз добре обслужвани, колкото закритите планове. Вземайки поради множеството зависимости от външни източници, които са интегрирани в доста от днешните стратегии, то обезпечаването на бистрота над проблемите в тези зависимости може да играе сериозно значима роля за действието и сигурността на сходни артикули.
Тук идва и ролята на OSV-Scanner. Написан на Go, OSV-Scanner обезпечава автоматизирана опция за сравнение на кода на разработчика и зависимостите в него с подготвени описи на към този момент известни уязвимости. При засичане на такива се обезпечава мигновена противоположна връзка за съществуването на съответни актуализации.
Както привеждат от SCMagazine, софтуерните планове през днешния ден разчитат на голям брой зависимости, като някои пакети съдържат недокументиран код, извлечен от други библиотеки. Тази процедура основава това, което бива определяно, като „ транзитивни зависимости “ в софтуера и може да докара до състояние, при което един план да съдържа голям брой пластове с уязвимости, които е мъчно да бъдат проследени ръчно.
Според разнообразни изследвания тези транзитивни зависимости са се трансформирали във все по-голям проблем напоследък. Така да вземем за пример, съгласно проучване на Endor Labs, 95% от уязвимостите в открити планове идват точно от транзитивни или непреки зависимости, а отчет на Sonatype показва, че транзитивните зависимости са виновни за шест от всеки седем открити уязвимости в открития код.
Гугъл изясняват, че скенерът открива тези транзитивни зависимости, като проучва манифестите, SBOM (software bill of materials) записите, където има такива и хеш сумите на добавените промени. След тази инспекция, OSV-Scanner се свързва с базата данни на OSV (Open Software Vulnerabilities), с цел да покаже съответните проблеми.
„ OSV-Scanner доставя надеждна и висококачествена информация за уязвимостите, покривайки дупката сред листата с пакетите на разработчиците и информацията в базата данни с уязвимости “, Рекс Пан, софтуерен инженер от Open Source екипа в Гугъл.
Коментирайте публикацията в нашите. За да научите първи най-важното, харесайте страницата ни във, и ни последвайте в и или изтеглете приложението на Kaldata.com за, и!
Източник: kaldata.com
КОМЕНТАРИ