新谷歌工具,秀给你看开源项目之间的依赖关系

于 2021-06-15 07:30:00 发布
阅读量388 收藏
点赞数
文章标签: 数据库 java 编程语言 大数据 人工智能

谷歌一直在开发一个新的试验性工具Open Source Insights,帮助开发人员发现他们所使用的开源软件包/库的依赖关系以及已知的安全漏洞。

Open Source Insights

Open Source Insights是一个Google Cloud Platform托管的工具,用户可以通过一个网站访问该工具,用户可以在其中输入特定开源软件包的名称,并了解它们是如何组合在一起的。

它会显示:

——有关包的信息(说明、所有权、链接)

——依赖关系(包依赖的组件)

——依赖项(依赖于它的包)

——安全建议(包和依赖关系中的已知漏洞等)

——许可信息

此外,它还提供交互式工具来可视化和分析完整的、可传递的依赖关系图。它还有一个比较工具来突出不同版本的软件包如何影响你的依赖关系,可能是通过更改它们自己的依赖关系、添加许可要求或修复安全问题。

该工具目前显示了大约50000个(Rust)Cargo包(crates)、60万个Go模块、42万个Maven(Java)和360万个npm包(Node.js)的信息。谷歌正在开发额外的包系统。

他们解释说:“这个项目扫描它能发现的所有可用包,要么通过读取npm之类系统的包主页,要么通过扫描GitHub和其他存储库托管站点。”

“目前,Insights只能用已知的打包模式分析这样的系统,因为它需要打包信息来构建依赖关系图。这意味着,至少现在,没有C或C++的数据,因为它们没有清晰的打包模式。”

提高开源供应链的安全性

随着企业对开源软件的使用增加,以及非托管开源代码(包括安全漏洞、过时或废弃的组件以及合规性问题)带来的风险无处不在,企业必须密切关注自己的软件解决方案所依赖的包中的许多频繁更改。

开发人员可以使用漏洞扫描程序和依赖关系审计来识别漏洞,而Open Source Insights提供了一个关于软件供应链安全的更大视角。

谷歌解释说:“Insights并不是试图取代标准的工具集,而是通过对每种打包模式的整个生态系统的全新、集成的视角来扩充它。”

“一个关键的区别是,从软件和它的打包定义看过去,Insights数据是从第一原理派生出来的。结果可能与所声明的依赖关系(例如,打包的“锁”文件)大不相同或更完整。此外,Insights提供的数据会定期重新评估,以保持最新,这在快速发展的开源开发世界中非常重要。”

Insights跟踪各种公共漏洞数据库,以标记已知的安全问题。

谷歌表示,常用软件包的数据通常是最新的,但不活跃和过时软件包的数据就可能很陈旧了。

原文链接:

https://www.helpnetsecurity.com/2021/06/07/open-source-dependencies-security/

开源云中文社区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
octopus::octopus:微服务架构可视化工具,用于可视化和分析微服务依赖关系
05-04
微服务架构可视化工具 Octopus是用于可视化依赖关系图的开源微服务体系结构工具。 它简单易用。 为什么 微服务架构具有很多优点,但也有很多缺点。 主要问题之一是由于运动件的数量,它很容易失控。 尤其是如果您只是盲目地跳入微服务炒作中。 Octopus旨在通过提供微服务之间的总体依赖关系图来解决其中的一些问题。 您需要用它来描绘大局。 不要低估了看大图的价值,因为即使您不是每天都在做架构,您也确实需要大图 您还需要这样做来进行一些影响分析 特征 快速开始 docker pull aint/octopus:latest docker run -it -p 5000:5000 aint/octopus:latest 章鱼服务器现在应该在 发送一些带有curl的POST请求 curl -X POST \ http://localhost:5000/ \ -H 'Content
spring处理循环依赖时序图_Maven依赖管理系统
weixin_39783426的博客
11-09 103
【思考】首先,简单讲述一下为什么需要这样一个系统?不知道大家有没有思考,在一个可能有上千个模块/产品的公司,对于模块之间有较多相互依赖的情况,以下问题该如何解决:我们把一个生命周期结束的组件移除之后,会有什么影响? 在代码修改之后,我们应该run哪些dependency测试例? 在一个已部署的系统中,我们最终要使用哪个version的模块? 是否有人使用高危版本的库?以上问题,其核心原则就是,在所...
开源软件 依赖_开源依赖管理是一种平衡行为
cumj63710的博客
06-21 463
开源软件 依赖 在我的职业生涯中,我花费了大量时间打包其他人的代码,编写自己的代码,并使用大型软件框架。 我看到一些项目尚未发布稳定版本,从未达到1.0版本,而其他项目则在开始开发的几个月内发布了1.0版本,然后Swift发展到2.0、3.0等。这些版本存在很大差异。周期,再加上维护大型项目会使工作变得困难。 我将介绍我们在我从事的项目中面临的一些决定以及该项目的压力。 在一个极端情况下,用...
开源软件 依赖_的开源依赖项管理器在场
cuml0912的博客
06-08 150
开源软件 依赖 当丹尼尔·菲佛 ( Daniel Pfeifer )在去年的Meeting C ++ 陷入僵局时,他说:“尝试完成以下句子:Python有Pip,Ruby有Gem,Dart有Pub,C ++有...” 不幸的是,由于无法解决和跟踪C / C ++项目的依赖关系和版本兼容性,因此我们无法继续这句话。 这是biicode试图填补空白的地方。 当biicode在大约两年前开始时,...
dep-scan:基于已知漏洞和建议的项目依赖项的完全开源安全审核。 与各种CI环境集成,例如Azure Pipelines,CircleCI,Google CloudBuild。 无需服务器!
05-03
介绍 ___ _____ _ _ / _ \ | _ _ | | | | / /_ \ \_ __ _ __ | | | | __ _ __ ___ __ _ | | _ | _ | ' _ \| ' _ \| | | ' _ \| ' __/ _ \/ _ ` | __ | | | | | | _) | | _) | | | | | | | | __/ (_ | | | _ \_ | | _/ .__/ | .__/ \_ / | _ | | _ | _ | \_ __ | \_ _,_ | \_ _ | | | | | | _ | | _ | dep-scan是一个基于项目的依赖项的完全开源的安全审核工具,它基于已知的
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息
04-25
OpenSCA,全称为Open Source Component Analysis,是一款强大的开源软件成分分析工具,旨在帮助开发者识别并管理项目中的第三方开源组件,以及这些组件可能存在的安全漏洞。在软件开发过程中,使用开源组件可以极大...
cloud-opensource-python:Google Cloud Python项目的依赖关系管理工具
04-24
Google Cloud Python项目的依赖关系管理工具包 对于GCP Python用户,依赖关系之间的版本冲突一直是一个大问题。 当用户依赖于两个库A和B,这两个库都依赖于库C的不兼容版本时,通常会发生此问题。这可能导致不确定的...
开源项目-google-gvisor.zip
09-12
谷歌的gVisor是一个开源项目,旨在为容器提供更高级别的安全防护。它被设计为一个沙箱容器运行时,能够隔离容器内的应用,减少主机系统可能受到的安全威胁。在本文中,我们将深入探讨gVisor的工作原理、其在容器安全...
Kotlin 进行 Android 开发的开源库,扩展,工具开源项目
最新发布
05-05
这篇文档将详细介绍使用Kotlin进行Android开发时的一些关键知识点,包括开源库、扩展、工具以及相关的开源项目。 一、Kotlin的基础特性与优势 1. 简洁语法:Kotlin的代码结构清晰,避免了Java中的冗余,如自动类型...
开源项目-google-godepq.zip
09-03
开源项目 Google Godepq 是一个专门用于检查 Go 语言导入树的工具,它为开发者提供了一种方便的方式来深入了解他们的 Go 代码依赖结构。这个项目的源代码存放在 `godepq-master` 文件夹中,其中包含了项目的全部源码...
OpenGLInsightsCode:OpenGL Insights的源代码-Open source
03-25
OpenGL Insights源代码
基于Echarts的Vue组件依赖关系分析工具
08-10
基于Echarts的Vue组件依赖关系分析工具
开源项目共同体分析框架概述
johnwoo_lee的专栏
09-11 465
点击上方蓝字 关注开源之道背景Community 是开源之道在2020年主要的研究任务。并打算花一些时间,将其翻译的问题也给掰扯清楚了。就开源的世界而言,共同体是最为恰当的了,开源之道...
35 个你也许不知道的 Google 开源项目
ProgrammingRoad
12-28 1098
Google是支持开源运动的最大公司之一,它们现在总共发布有超过500个的开源项目(大部分都是利用它们的API来完成),本文将列举一些有趣的开源项目,其中很可能有不少你不知道的哦。文本文件处理:Google CRUSH (Custom Reporting Utilities for SHell)CRUSH是为命令行或shell scripts处理特定文字数据而制作的一系列工具,这里有指
google工具b包GUAVA使用
weixin_41419401的博客
12-03 373
1、映入依赖: <dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>18.0</version> </dependency> 2、简单使用案例...
[转]35 Google open-source projects that you probably don't know
yaoyansi的专栏
01-17 2186
from http://blog.0x1fff.com/2009/12/35-google-open-source-projects-that-you.htmlThis text is translation of: 34 projekty Open Source udostępnione przez GoogleUpdate:Currently list is
google的开源工程,真多
热门推荐
xu的blog
04-29 1万+
http://blog.drhack.net/google-open-source-projects-you-knew-that/这个页面介绍了google的开源工程,真多,也很实用。    Text File processingGoogle CRUSH (Custom Reporting Utilities for SHell)CRUSH is a collecti
Google Guice依赖注入框架使用
happyzwh的专栏
11-06 2163
Google Guice是一个轻量级依赖注入框架,和Spring类似。下面结合一些示例来讲解其使用方式。 首先引入maven依赖: <dependency> <groupId>com.google.inject</groupId> <artifactId>guice</artifactId> <version>4.1.0</version> </dependency> 示例1: p...
提升开源软件安全:解决依赖性问题与供应链透明度
软件完整性意味着验证软件包在交付时未被篡改,而分析工具则可以帮助开发者识别潜在的安全风险和依赖关系,实现供应链风险管理的精细化。这要求开发者在构建过程中集成安全检查,并鼓励用户在部署前进行安全扫描。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值