微信订阅号二维码

本页内容二维码:

本栏目热门内容
  • Windows 系统安全基线及软...
  • CIS-CAT 配置评估工具介绍...
  • 修改audispd.conf解决审计...
  • 详细了解微软安全合规工具...
  • 从甲方角度介绍“CIS互联...
  • 2022年甲方个人网络安全运...
  • 业务导向安全策略#5员工培...
  • CIS关键安全控制措施#1总...
  • 微软安全合规工具包(SCT...
  • 安装RHEL/CentOS时如何选...
  • CIS关键安全控制措施#16应...
  • SELINUX介绍连载#3:什么...
  • CIS关键安全控制措施#17突...
  • CIS RAM风险评估方法5篇目...
  • 网络安全日志收集甲方基础...
  • SELINUX介绍连载#1:基础...
  • CIS关键安全控制措施#6访...
  • SELINUX介绍连载#2:模式...
  • 关于OpenSCAP/SCAP安全策...
  • CIS RAM#4实施防护措施、...
  • 什么是网络行为异常检测(...
  • CIS关键安全控制措施集18...
  • CIS关键安全控制措施#14安...
  • 网络攻防中的色彩象征
  • DNS子域名发掘工具两项
  • 业务导向安全策略#1数据管...
  • CIS RAM#1风险评估方法核...
  • 内网DNS服务器安全性能基...
  • CIS关键安全控制措施#8审...
  • 更多...

    OSV-Scanner: Google研发的开源漏洞扫描器

    作者:Sender  来源:WaveCN.com  发布日期:2022-12-29  最后修改日期:2022-12-29

    前不久,Google释出了OSV-Scanner,一个免费的命令行方式的漏洞扫描工具,开源开发者可以利用该工具对自己的开源项目的依赖资源进行检查是否存在漏洞。该工具的下载地址在:

    https://github.com/google/osv-scanner

     

    关于这个漏洞扫描工具,要先说说Google公司在二月份释出的开源漏洞数据库(Open Source Vulnerabilities database),地址在:

    https://osv.dev

    OSV LOGO

    OSV.dev可能是世界上最大的开源漏洞数据库,拥有总共38000条漏洞处置建议,而一年前这个数字还只是15000。

    OSV.dev的强大在于允许所有不同的开源生态系统和漏洞数据库以同一种简单、精确和机器可读的格式发布和使用漏洞信息。

    迄今,OSV.dev总共支持16种生态系统,包括了所有主流的开发语言生态系统、Linux发行版(Debian和Alpine)、安卓系统、Linux 核心、以及 OSS-Fuzz 等。

    OSV.dev提供了操作API,可以供使用者远程调用,以获取漏洞资源。而本文介绍的OSV-Scanner则是OSV.dev数据库的前端工具。

    OSV-Scanner工具的工作过程大致是首先检索软件项目的锁文件,也就是存放了项目依赖关系信息的文件、软件物料清单SBOM以及最新提交的GIT目录;然后列出项目中使用到的传递性的依赖项和版本;再后把列表内容通过OSV.dev的API接口,与OSV数据库中的信息进行比较,确定是否存在漏洞。

    下面看看如何使用OSV-Scanner。

    该工具当前版本为1.0.2,下载后即可使用,无需安装。工具提供了支持在64位的Linux、macOS或者Windows(包括ARM64)操作系统环境下运行的版本。执行过程很简单,就是直接将项目所在目录作为扫描工具的目标。

    有若干命令行参数可以用于调整工具的扫描行为,可以通过单独给出--help参数(或者help命令)列出。这里简单列一下:

    --docker 扫描指定名称的docker影像
    --lockfile 扫描给出的路径的软件包lockfile
    --sbom 扫描给出的路径的sbom文件
    --config 设置或者覆盖配置文件
    --json 设置输出JSON格式
    --skip-git 设置跳过扫描git仓库,注意在扫描git仓库时,该工具会尝试直接调用git程序,如果你的系统路径中没有git程序,则扫描失败。
    --recursive 递归扫描子目录

    更详细的设置需要通过配置文件实现。

    如下是一个简单的输出内容:,

    osv-scanner output

    Google公司计划将OSV-Scanner变成一个成熟的漏洞管理工具。具体发展方向包括:通过独立的持续集成CI操作进一步集成到开发人员工作流;对存在漏洞的软件依赖项进行小版本微调而实现漏洞的自动修复或缓解;改进对C/C++语言环境的漏洞处置支持能力等。

    另外,该工具也已经集成到OpenSSF记分卡的漏洞检查功能中。掌握和运用OpenSSF记分卡,可以充分提高软件代码的安全性,具体可以参考:

    http://securityscorecards.dev/

    话说OpenSSF有个挺好玩的LOGO,值得看看:

    OpenSSF Logo

    欢迎关注微信公众号后私信讨论文章内容!
    本栏目相关
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-05-10 2022年甲方个人网络安全运维基础工具
  •  2022-06-06 业务导向甲方网络安全策略设计#5员工培训及系列总结
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2022-03-18 微软安全合规工具包(SCT)操作实战
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  • 返回页首