安全漏洞是软件工程化能力的试金石
2021年年底,Log4j的漏洞陆续被公开。因为该框架被大量的开源软件依赖,所以,漏洞影响面非常大。
面对这个漏洞,我们遇到的第一个问题是:如何知道我们哪些工程使用了Log4j?
在我看来,这个漏洞是企业软件工程化的一颗非常好的试金石。因为:
1. 如何第一时间了解到这个漏洞,反应这家企业的安全能力;
2. 如何第一时间能找到所有使用了Log4j的位置,体现了这家企业第三方软件依赖管理能力;
3. 替换Log4j的速度,体现企业的持续集成、持续部署的能力。
Google的开源软件安全漏洞扫描工具
今天介绍的OSC-Scanner,能加强我们第1项和第2项能力。
OSV-Scanner是Google在2022年12月13日推出的一款免费的安全扫描工具。它具有以下特点:
1. 支持多生态系统,包括:Go、PyPI、RubyGens、Linux、Maven等16个生态系统;
<