Google lance un outil gratuit d'analyse de sécurité pour identifier les vulnérabilités de l'Open Source

Une image d'icônes de sécurité pour un réseau encerclant une terre bleue numérique
(Crédit photo: Shutterstock)

Google vient de lancer un nouvel outil appelé OSV-Scanner, un outil open source gratuit qui, selon lui, permet aux développeurs d'accéder facilement aux informations sur les vulnérabilités pertinentes pour leur projet.

En 2021, Google a lancé le service OSV.dev, une base de données de vulnérabilités open source distribuée, permettant à une variété d'écosystèmes open source et de bases de données de vulnérabilités de publier et de consulter des informations dans un format lisible par une machine.

Selon Google, l'OSV-Scanner fournit désormais une interface officiellement prise en charge pour cette base de données OSV, qui relie la liste des dépendances d'un projet aux vulnérabilités qui les affectent.

Qu'est-ce que cela apporte de plus ?

OSV-Scanner est apparemment intégré à la vérification des vulnérabilités du Scorecard de l'OpenSSF, ce qui signifie qu'il sera en mesure d'étendre l'analyse des vulnérabilités directes d'un projet pour inclure également les vulnérabilités de toutes ses dépendances.

Étant donné que les projets logiciels impliquent souvent de nombreuses dépendances de tiers provenant de bibliothèques logicielles extérieures, avec un trop grand nombre de versions différentes pour en assurer le suivi manuellement, l'automatisation sera utile pour garantir la sécurité, selon Google. 

En outre, chaque avis de vulnérabilité provient d'une "source ouverte et faisant autorité", par exemple, la base de données d'avis RustSec.

Selon Google, tout le monde peut suggérer des améliorations aux avis, ce qui permet d'obtenir une base de données de très haute qualité.

Si vous souhaitez essayer OSV-Scanner, vous pouvez vous rendre sur le site web (s'ouvre dans un nouvel onglet) et suivre les instructions, ou lire le guide GitHub (s'ouvre dans un nouvel onglet).

Il n'est pas surprenant que Google cherche à consacrer plus de ressources à la sécurité des logiciels libres, les vulnérabilités de ces derniers restant un point de passage obligé pour les pirates informatiques.

En fait, un rapport de la société de cybersécurité Snyk, en collaboration avec la Fondation Linux, a révélé que deux entreprises sur cinq (41 %) n'ont pas confiance dans la sécurité de leur code source ouvert.

Ce manque de confiance handicape l'adoption de la technologie dans de nombreux cas, le nombre d'entreprises prêtes à déployer des logiciels libres dans leurs environnements de production a en fait diminué de 5 %, passant de 95 % en 2021 à 90 % cette année.

Will McCurdy has been writing about technology for over five years. He has a wide range of specialities including cybersecurity, fintech, cryptocurrencies, blockchain, cloud computing, payments, artificial intelligence, retail technology, and venture capital investment. He has previously written for AltFi, FStech, Retail Systems, and National Technology News and is an experienced podcast and webinar host, as well as an avid long-form feature writer.