Google vient de lancer un nouvel outil appelé OSV-Scanner, un outil open source gratuit qui, selon lui, permet aux développeurs d'accéder facilement aux informations sur les vulnérabilités pertinentes pour leur projet.
En 2021, Google a lancé le service OSV.dev, une base de données de vulnérabilités open source distribuée, permettant à une variété d'écosystèmes open source et de bases de données de vulnérabilités de publier et de consulter des informations dans un format lisible par une machine.
Selon Google, l'OSV-Scanner fournit désormais une interface officiellement prise en charge pour cette base de données OSV, qui relie la liste des dépendances d'un projet aux vulnérabilités qui les affectent.
Qu'est-ce que cela apporte de plus ?
OSV-Scanner est apparemment intégré à la vérification des vulnérabilités du Scorecard de l'OpenSSF, ce qui signifie qu'il sera en mesure d'étendre l'analyse des vulnérabilités directes d'un projet pour inclure également les vulnérabilités de toutes ses dépendances.
Étant donné que les projets logiciels impliquent souvent de nombreuses dépendances de tiers provenant de bibliothèques logicielles extérieures, avec un trop grand nombre de versions différentes pour en assurer le suivi manuellement, l'automatisation sera utile pour garantir la sécurité, selon Google.
En outre, chaque avis de vulnérabilité provient d'une "source ouverte et faisant autorité", par exemple, la base de données d'avis RustSec.
Selon Google, tout le monde peut suggérer des améliorations aux avis, ce qui permet d'obtenir une base de données de très haute qualité.
Si vous souhaitez essayer OSV-Scanner, vous pouvez vous rendre sur le site web et suivre les instructions, ou lire le guide GitHub.
Il n'est pas surprenant que Google cherche à consacrer plus de ressources à la sécurité des logiciels libres, les vulnérabilités de ces derniers restant un point de passage obligé pour les pirates informatiques.
En fait, un rapport de la société de cybersécurité Snyk, en collaboration avec la Fondation Linux, a révélé que deux entreprises sur cinq (41 %) n'ont pas confiance dans la sécurité de leur code source ouvert.
Ce manque de confiance handicape l'adoption de la technologie dans de nombreux cas, le nombre d'entreprises prêtes à déployer des logiciels libres dans leurs environnements de production a en fait diminué de 5 %, passant de 95 % en 2021 à 90 % cette année.
