為湘陰等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及湘陰網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站設(shè)計制作、成都做網(wǎng)站、湘陰網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

開源開發(fā)人員可在項目使用 OSV-Scanner，透過比對依賴項目和 OSV 漏洞資料庫，找出項目的依賴項目中所存在的漏洞。

Google 推出免費工具 OSV-Scanner（https://github.com/google/osv-scanner），供開源開發(fā)人員可以更簡單地存取和項目相關(guān)的漏洞資訊。

去年 Google 發(fā)布開源漏洞（Open Source Vulnerability）架構(gòu)并且啟動 OSV.dev 服務(wù)，完成第一個分散式開源漏洞數(shù)據(jù)庫，官方解釋，OSV 允許不同的開源生態(tài)系和漏洞資料庫，能夠以一種簡單、精確且機器可讀的格式發(fā)布和使用資訊。

而 OSV-Scanner 則是 OSV 資料庫的下一步，這是由官方支援的前端，能夠?qū)㈨椖康囊蕾図椖苛斜?，和影響項目的漏洞相關(guān)聯(lián)。由于軟件項目通常擁有大量的依賴項目，而每個依賴項目可能包含現(xiàn)有已知的漏洞，或是尚待發(fā)現(xiàn)的新漏洞，但因為依賴項目和版本太多，開發(fā)人員通常難以手動追蹤，因此需要自動化來解決這項困難。

OSV-Scanner 會自動比對項目與其依賴項目和已知漏洞列表，并于存在修補程式或是更新時通知開發(fā)者，Google 提到，OSV-Scanner 能夠生成可靠、高品質(zhì)的漏洞資訊，以縮小開發(fā)人員軟件套件列表和 OSV 資料庫中的漏洞信息落差。

由于 OSV-Scanner 使用開源分散式 OSV.dev 數(shù)據(jù)庫，因此官方提到，OSV-Scanner 與閉源數(shù)據(jù)庫的掃瞄器相比更具優(yōu)勢，包括每個安全通報都是來自開放且權(quán)威的來源，所有人都可以提出改進(jìn)建議，因此能夠共同維護(hù)高品質(zhì)資料庫，而且OSV 格式以機器可讀的格式，儲存有關(guān)受影響的套件版本資訊，該格式能精確地對應(yīng)到開發(fā)者的軟件套件列表。

OSV-Scanner 會先分析清單、SBOM 并提交雜湊（hash）值，找到所有正在使用的傳遞（transitive）依賴項目，接著OSV-Scanner 會將該資訊和 OSV 數(shù)據(jù)庫進(jìn)行比對，以顯示開發(fā)者項目相關(guān)的漏洞。同時 OSV-Scanner 還整合到 OpenSSF 計分卡漏洞檢查，可將漏洞分析從項目的直接漏洞，擴及所有依賴項目的漏洞，代表采用 OpenSSF 計分卡的項目能夠獲得更全面的安全檢查。

作者 |?iThome 李建興

翻譯 |?劉天棟.Ted

編輯 | 張可芯

相關(guān)閱讀?|?Related Reading

開源碼力圓桌文字稿

投身開源，需要持之以恒的熱愛與貢獻(xiàn) —— Apache Spark Committer 姜逸坤

開源社簡介

開源社成立于 2014 年，是由志愿貢獻(xiàn)于開源事業(yè)的個人成員，依 “貢獻(xiàn)、共識、共治” 原則所組成，始終維持廠商中立、公益、非營利的特點，是最早以 “開源治理、國際接軌、社區(qū)發(fā)展、開源項目” 為使命的開源社區(qū)聯(lián)合體。開源社積極與支持開源的社區(qū)、企業(yè)以及政府相關(guān)單位緊密合作，以 “立足中國、貢獻(xiàn)全球” 為愿景，旨在共創(chuàng)健康可持續(xù)發(fā)展的開源生態(tài)，推動中國開源社區(qū)成為全球開源體系的積極參與及貢獻(xiàn)者。

2017 年，開源社轉(zhuǎn)型為完全由個人成員組成，參照 ASF 等國際頂級開源基金會的治理模式運作。近八年來，鏈接了數(shù)萬名開源人，集聚了上千名社區(qū)成員及志愿者、海內(nèi)外數(shù)百位講師，合作了近百家贊助、媒體、社區(qū)伙伴。

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機房具備T級流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性，企業(yè)級服務(wù)器適合批量采購，新人活動首月15元起，快前往官網(wǎng)查看詳情吧

分享標(biāo)題：Google釋出開源軟件漏洞掃描工具OSV-Scanner?-創(chuàng)新互聯(lián)
網(wǎng)頁地址：http://chinadenli.net/article24/cogeje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站排名、關(guān)鍵詞優(yōu)化、網(wǎng)站導(dǎo)航、標(biāo)簽優(yōu)化、微信小程序

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)