Google startet größte verteilte Elektronischer Karteikasten mit Open-Source-Schwachstellen
[ad_1]
13. Monat der Wintersonnenwende 2022Ravie LakshmananOpen Source / Schwachstellendatenbank
Google hat am zweiter Tag der Woche die Open-Source-Verfügbarkeit von angekündigt OSV-Scannerein Scanner, welcher verknüpfen einfachen Zugriff aufwärts Schwachstelleninformationen zu verschiedenen Projekten eröffnen soll.
Dies Go-basierte Tool, dasjenige von welcher Open Source Vulnerabilities (OSV)-Elektronischer Karteikasten unterstützt wird, soll „die verkettete Liste welcher Abhängigkeiten eines Projekts mit den Schwachstellen verbinden, die sie miteinschließen“, so welcher Google-Softwareentwickler Rex Pan in einem Gebühr, welcher mit The Hacker News geteilt wurde.
„Dieser OSV-Scanner generiert zuverlässige, qualitativ hochwertige Schwachstelleninformationen, die die Lücke zwischen welcher Paketliste eines Entwicklers und den Informationen in Schwachstellendatenbanken schließen“, fügte Pan hinzu.
Die Idee ist, die Gesamtheit transitiven Abhängigkeiten eines Projekts zu identifizieren und relevante Schwachstellen mit Hilfe von von Information aus welcher OSV.dev-Elektronischer Karteikasten hervorzuheben.
Google erklärte weiter, dass die Open-Source-Plattform 16 Ökosysteme unterstützt, darunter die Gesamtheit wichtigen Sprachen, Linux-Distributionen (Debian und Alpine) sowie Androide, Linux Kernel und OSS-Fuzz.
Dies Ergebnis dieser Erweiterung ist, dass OSV.dev ein Repository z. Hd. mehr wie 38.000 Sicherheitshinweise ist, im Vergleich zu 15.000 Sicherheitswarnungen vor einem Jahr, mit Linux (27,4 %), Debian (23,2 %), PyPI (9,5 %), Alpine (7.9 %) und npm (7,1 %) aufwärts den ersten fünf Plätzen.
Welches die nächsten Schritte betrifft, bemerkte welcher Internetgigant, dass er daran arbeite, Unterstützung z. Hd. Kohlenstoff/Kohlenstoff++-Fehler zu integrieren, während er eine „hochwertige Elektronischer Karteikasten“ aufbaue, die dasjenige Hinzufügen von „präzisen Metadaten aufwärts Commit-Flachland zu CVEs“ beinhaltet.
OSV-Scanner erscheint sozusagen zwei Monate, nachdem Google GUAC – von kurzer Dauer z. Hd. Graph for Understanding Artifact Composition – eingeführt hat, um Supply Chain Levels for Software Artifacts (SLSA oder „Salsa“) wie Teil seiner Bemühungen zur Erhöhung welcher Sicherheit von Software-Lieferketten zu ergänzen.
Letzte Woche veröffentlichte Google untergeordnet verknüpfen neuen „Perspectives on Security“-Report, in dem Unternehmen aufgefordert werden, ein gemeinsames SLSA-Framework zu gedeihen und einzusetzen, um Manipulationen zu verhindern, die Unversehrtheit zu verbessern und Pakete vor potenziellen Bedrohungen zu schützen.
Weitere Empfehlungen des Unternehmens zusammenfassen die Entgegennahme zusätzlicher Open-Source-Sicherheitsverantwortung und die These eines ganzheitlicheren Ansatzes zur Vollbringung von Risiken, wie sie in den letzten Jahren durch die Log4j-Schwachstelle und den SolarWinds-Zwischenfall aufgetreten sind.
„Angriffe aufwärts die Softwarelieferkette erfordern in welcher Regel starke technische Fähigkeiten und langfristiges Engagement“, sagte dasjenige Unternehmen. “Erfahrene Akteure nach sich ziehen eigentlich sowohl die Ziel wie untergeordnet die Fähigkeit, solche Betriebsart von Angriffen durchzuführen.”
„Die meisten Unternehmen sind instabil z. Hd. Angriffe aufwärts die Softwarelieferkette, weil Angreifer sich die Zeit nehmen, Drittanbieter mit vertrauenswürdigen Verbindungen zu den Netzwerken ihrer Kunden anzugreifen. Sie nutzen dieses Vertrauen dann, um tiefer in die Netzwerke ihrer eigentlichen Ziele einzudringen.“
[ad_2]