0
0
Empresa desenvolveu um front-end do banco de dados OSV (vulnerabilidade de código aberto), projetado para coletar dados de bugs de todos os diferentes ecossistemas de código aberto em um só lugar
O Google lançou uma ferramenta gratuita que se propõe a melhorar a segurança do código compilado a partir de dependências de código aberto — uma fonte crescente de risco para as organizações. Trata-se do OSV-Scanner, um front-end do banco de dados OSV (vulnerabilidade de código aberto) do Google, projetado para coletar dados de bugs de todos os diferentes ecossistemas de código aberto em um só lugar.
A nova ferramenta permite que os desenvolvedores verifiquem suas dependências e códigos em busca de bugs listados no banco de dados e recebam feedback instantâneo sobre a necessidade de patches ou atualizações, explicou Rex Pan, engenheiro de software do Google.
A ferramenta começa encontrando todas as dependências transitivas de um projeto, analisando manifestos, listas de materiais de software (SBOMs), documentos e hashes de confirmação.
Um relatório divulgado esta semana afirma que as dependências transitivas ou indiretas representam cerca de 95% de todas as vulnerabilidades de código aberto. No entanto, muitas vezes elas são perdidas devido à complexidade das relações entre os componentes e à falta de visibilidade desses ecossistemas.
Pan enumera várias vantagens que a ferramenta do Google tem sobre bancos de dados e scanners de código fechado. Em primeiro lugar é que cada comunicado vem de uma “fonte aberta e autorizada” — por exemplo, o RustSec Advisory Database. Em seguida, ele cita o banco de dados OSV.dev, que é o maior de seu tipo, suportando 16 ecossistemas de código aberto e atendendo a mais de 38 mil recomendações. Outro aspecto é que qualquer pessoa pode sugerir melhorias aos alertas, aperfeiçoando a qualidade da base de dados.
Um relatório da Sonatype de outubro revelou que 68% das organizações se sentiram confiantes de que seus aplicativos não estão usando bibliotecas vulneráveis. No entanto, uma amostra aleatória de aplicativos corporativos mostrou que 68% continham vulnerabilidades conhecidas.
FONTE: CISO ADVISOR