使用Google OSV工具扫描依赖安全漏洞

最新推荐文章于 2024-03-26 09:45:00 发布
最新推荐文章于 2024-03-26 09:45:00 发布
阅读量817 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apl359/article/details/135212171
版权

39111d0ddb4b5fa4e423a1aa6d58ab5f.png


安全漏洞是软件工程化能力的试金石

2021年年底,Log4j的漏洞陆续被公开。因为该框架被大量的开源软件依赖,所以,漏洞影响面非常大。

面对这个漏洞,我们遇到的第一个问题是:如何知道我们哪些工程使用了Log4j?

在我看来,这个漏洞是企业软件工程化的一颗非常好的试金石。因为:

  1. 1. 如何第一时间了解到这个漏洞,反应这家企业的安全能力;

  2. 2. 如何第一时间能找到所有使用了Log4j的位置,体现了这家企业第三方软件依赖管理能力;

  3. 3. 替换Log4j的速度,体现企业的持续集成、持续部署的能力。

Google的开源软件安全漏洞扫描工具

今天介绍的OSC-Scanner,能加强我们第1项和第2项能力。

OSV-Scanner是Google在2022年12月13日推出的一款免费的安全扫描工具。它具有以下特点:

  1. 1. 支持多生态系统,包括:Go、PyPI、RubyGens、Linux、Maven等16个生态系统;

    <
最低0.47元/天 解锁文章
apl359
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
osv:开源漏洞数据库和分类服务
03-07
OSV-开源漏洞 OSV是用于开源项目的和分类基础结构,旨在帮助开源维护者和开源使用者。 对于开源维护者,OSV的自动化功能有助于减轻分类负担。 每个漏洞都会经过自动的对分和影响分析,以确定精确的受影响提交和版本范围。 对于开源使用者,OSV提供了一个API,使这些项目的用户可以查询其版本是否受到影响。 当前数据源: 这是一个正在进行的项目。 我们希望与开放源代码社区合作,以。 查看网页界面 OSV的Web UI实例部署在。 使用API curl -X POST -d \ ' {"commit": "6879efc2c1596d11a6a6ad296f80063b558d5e0f"} ' \ " https://api.osv.dev/v1/query?key= $API_KEY " curl -X POST -d \ ' {"versio
omron OS32C激光安全扫描使用手册.rar
10-30
omron OS32C激光安全扫描使用手册rar,omron OS32C激光安全扫描使用手册
探索OSV ScannerGoogle的开源漏洞扫描
gitblog_00096的博客
03-20 578
探索OSV ScannerGoogle的开源漏洞扫描器 项目地址:https://gitcode.com/google/osv-scanner 项目简介 在如今的软件开发中,依赖管理是不可或缺的一部分。然而,这也带来了安全挑战——如何确保所有依赖项都没有已知的安全漏洞Google为了解决这个问题,开源了他们的OSV Scanner项目。这是一个强大的工具,它能够帮助开发者快速、准确地检测其代...
Google 释出开源软件漏洞扫描工具 OSV-Scanner
开源社KAIYUANSHE的博客
12-21 1120
开源开发人员可在项目使用 OSV-Scanner,透过比对依赖项目和 OSV 漏洞资料库,找出项目的依赖项目中所存在的漏洞。Google 推出免费工具 OSV-Scanner(https://github.com/google/osv-scanner),供开源开发人员可以更简单地存取和项目相关的漏洞资讯。去年 Google 发布开源漏洞(Open Source Vulnerability)架构并且...
谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner
Go中国
12-19 462
文章转自 InfoQ近日,谷歌本发布了开源漏洞扫描OSV-ScannerOSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。GitHub 地址:https://github.com/google/osv-scanner谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV...
SCA——开源安全威胁一网打尽
andre1918的博客
01-10 352
SCA是一项通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。软件成分分析是任何安全开发生命周期的标准基本部分,及时发现问题可以降低成本,提高敏捷性,使软件更安全,并帮助开发团队学会将安全性纳入其规划和设计决策中,对于维护软件安全起到了重要作用。
探索OSV.dev:谷歌开源的安全警报平台
gitblog_00038的博客
03-26 255
探索OSV.dev:谷歌开源的安全警报平台 项目地址:https://gitcode.com/google/osv.dev OSV.dev 是一个由谷歌维护的开源项目,旨在为开发者提供一个统一的平台,用于跟踪和管理他们所依赖的开源软件中的安全漏洞。该项目利用先进的技术手段,使得开发者能够更高效、准确地应对软件安全问题,从而提升整个开发过程的安全性。 项目简介 OSV.dev的核心是一个实时更新的数...
国内外知名免费及商业漏洞库汇总
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-15 1663
汇总了国内外知名的免费漏洞库、商业漏洞库,帮忙大家在选型漏洞库提供参考。
oecp一种将 OSV 用作认证工具
11-27
性能优化配置,牵引实现扩展仓库openEuler系共享、共用,主流行业应用在openEuler系不同的OSV生态复用度90%。检测2个ISO(基于RPM)的软件包,软件包内文件,库文件接口(C/C++),内核KABI的变化差异,检测同一个...
永宏FBS升级OS软件工具
01-30
用于FBS系列固件更新软件工具
Wear OS ADB工具箱 V2.2.0.zip
12-16
Wear OS ADB工具箱 V2.2.0.zip
漏洞库及扫描工具整理
北方的孤夜
06-27 198
漏洞库
论文2笔记
Super_FROG的博客
07-28 277
论文2笔记 《开源软件漏洞库综述》 现状 当今的软件开发者在使用开源代码时,往往忽略了其安全性问题,现有的漏洞版本控制方案和开源代码的版本控制方案之间存在一定的差异,导致漏洞无法及时修复。 问题1:版本控制方案是什么?作用是什么? 1.在开发中,必须允许可以很容易对产品的版本进行任意回滚,版本控制工具实现这个功能的原理简单来讲,就是你每修改一次代码,它就帮你做一次快照。 2.能确保一直存储最新的代码库,所有人的代码应该和最新的代码库保持一致。 当前使用开源代码的误区: 1.开源软件不是很安全.许多攻击者
史上最小 x86 Linux 模拟器「GitHub 热点速览 v.22.50」
HelloGitHub 的博客
12-19 2250
作者:HelloGitHub-小鱼干本周 GitHub Trending 略显冷清,大概是国内的人们开始在养病,而国外的人们开始过圣诞、元旦双节。热度不减的 ChatGPT 依旧占据了本周大半的 GitHub 热点项目,不过本周的特推和周榜并未重复收录这些。不过,本周有个新的 C 项目颇为有意思,它便是特推史上最小的 x86 Linux 模拟器,主打小巧。另外个特推项目便是 Google 开源的漏...
部署OpenVAS漏洞检测系统
weixin_34310369的博客
08-09 247
OpenVAS是一款开放式的漏洞评估工具,主要用来检测目标网络或主机的安全性。与安全焦点的X-Scan工具类似,OpenVAS系统也采用了Nessus较早版本的一些开放插件。OpenVAS能够基于C/S(客户端/服务器),B/S(浏览器/服务器)架构进行工作,管理员通过浏览器或者专用客户端程序来下达扫描任务,服务器端负载授权,执行扫描操作并提供扫描结果。一套完整的Op...
战略规划之五看三定方法论.pptx
06-14
战略规划之五看三定方法论.pptx
cutcamera1718339848103.png
06-14
cutcamera1718339848103.png
小游戏的java程序开发
最新发布
06-14
小游戏的java程序开发
OSV-Scanner
07-22
通过扫描项目的依赖关系,OSV-Scanner可以自动检测并报告项目中使用的开源软件组件是否存在已知的安全漏洞。这有助于开发者及时更新或修复相关组件,以提高应用程序的安全性。 OSV-Scanner可以作为一个命令行工具或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值