Google釋出開源軟體漏洞掃描工具OSV-Scanner

Google推出免費工具，供開源開發人員可以更簡單地存取和專案相關的漏洞資訊。

去年Google發布開源漏洞（Open Source Vulnerability）架構並且啟動OSV.dev服務，完成第一個分散式開源漏洞資料庫，官方解釋，OSV允許不同的開源生態系和漏洞資料庫，能夠以一種簡單、精確且機器可讀的格式發布和使用資訊。

而OSV-Scanner則是OSV資料庫的下一步，這是由官方支援的前端，能夠將專案的相依項目列表，和影響專案的漏洞相關聯。由於軟體專案通常擁有大量的相依項目，而每個相依項目可能包含現有已知的漏洞，或是尚待發現的新漏洞，但因為相依項目和版本太多，開發人員通常難以手動追蹤，因此需要自動化來解決這項困難。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

OSV-Scanner會自動比對專案相依項目和已知漏洞列表，並於存在修補程式或是更新時通知開發者，Google提到，OSV-Scanner能夠生成可靠、高品質的漏洞資訊，以縮小開發人員軟體套件列表和OSV資料庫中的漏洞資訊落差。

由於OSV-Scanner使用開源分散式OSV.dev資料庫，因此官方提到，OSV-Scanner與閉源資料庫的掃瞄器相比更具優勢，包括每個安全通報都是來自開放且權威的來源，所有人都可以提出改進建議，因此能夠共同維護高品質資料庫，而且OSV格式以機器可讀的格式，儲存有關受影響的套件版本資訊，該格式能精確地對應到開發者的軟體套件列表。

OSV-Scanner會先分析清單、SBOM並提交雜湊值，找到所有正在使用的遞移相依項目，接著OSV-Scanner會將該資訊和OSV資料庫進行比對，以顯示開發者專案相關的漏洞。同時OSV-Scanner還整合到OpenSSF計分卡漏洞檢查，可將漏洞分析從專案的直接漏洞，擴及所有相依項目漏洞，代表採用OpenSSF計分卡的專案能夠獲得更全面的安全檢查。

https://www.ithome.com.tw/news/154709