En bref: Les projets de développement open source doivent souvent s’appuyer sur de nombreuses dépendances externes, ce qui évite aux développeurs le travail de création de nouvelles fonctionnalités à partir de zéro. Le nouvel outil de Google est la dernière partie de ses efforts pour aider ces projets à suivre et à résoudre les vulnérabilités introduites par les dépendances, en s’appuyant sur sa base de données communautaire.

Google a présenté cette semaine OSV-Scanner, un outil gratuit qui permet aux développeurs de rechercher des vulnérabilités connues dans les dépendances qu’ils utilisent. Le scanner vérifie leurs projets par rapport à ceux de Google Schéma de vulnérabilité Open Source (OSV) et le OSV.dev service.

Lorsque les développeurs exécutent OSV-Scanner sur leur travail, il recherche leurs manifestes, SBOM et valide les hachages pour trouver des dépendances transitives. Il relie ensuite les informations qu’il trouve à la base de données OSV de Google pour trouver des vulnérabilités et informer les développeurs.

Google a lancé la base de données OSV en février dernier pour aider les développeurs open source à trouver et à fournir facilement des informations sur les vulnérabilités de leurs dépendances. Étant donné que les projets open source peuvent s’appuyer sur un grand nombre de dépendances, une base de données accessible peut aider les développeurs à déterminer rapidement celles qui ont introduit de nouvelles responsabilités. L’OSV-Scanner introduit une nouvelle couche d’automatisation dans le processus.

2022 12 14 Image 29

Publicité

Google a conçu l’OSV-Scanner pour se conformer à la Décret exécutif américain de 2021 sur la cybersécurité, qui exige l’automatisation dans le cadre de ses normes de sécurité du développement logiciel. Le gouvernement a introduit l’ordonnance au milieu d’une série de cyberattaques très médiatisées comme le piratage de SolarWinds et l’attaque contre les rançongiciels sur le pipeline colonial.

Quelques mesures prises par Google devraient garantir que l’OSV-Scanner fournit un nombre gérable de notifications de sécurité sur lesquelles les développeurs peuvent agir dans des délais raisonnables. Les résultats du scanner proviennent de sources faisant autorité qui alimentent la base de données OSV, mais sa nature communautaire garantit également un riche référentiel d’informations sur les vulnérabilités. La base de données conserve également ses informations dans un format lisible par machine qui correspond parfaitement aux listes de packages de développeur.

D’autres améliorations pour l’OSV-Scanner sont en cours. Google prévoit d’introduire des actions CI autonomes pour faciliter la planification et la configuration initiale. La société construit également une nouvelle base de données de vulnérabilités C/C++ qui comprend des métadonnées précises au niveau de la validation des CVE.

À l’avenir, l’analyse des graphes d’appels devrait permettre à l’OSV-Scanner d’utiliser des informations de vulnérabilité spécifiques au niveau de la fonction. L’analyse des graphiques d’appels pourrait également éventuellement générer automatiquement des instructions VEX. De plus, Google souhaite que le scanner puisse proposer des changements de version minimaux pour les projets où ils auraient un impact maximal pour résoudre automatiquement les vulnérabilités.

Le scanner OSV est disponible sur la page GitHub de Google.

Rate this post
Publicité
Article précédentLa vente exclusive Nomad de MacRumors se termine bientôt : économisez 20 % sur tout le site sur les étuis pour iPhone, les chargeurs, les bracelets Apple Watch, etc.
Article suivantDes chercheurs découvrent des cyberattaques MirrorFace ciblant des entités politiques japonaises
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici