Google офіційно представила OSV-Scanner V2.0.0 — значне оновлення інструмента для виявлення й усунення вразливостей, що робить його повноцінним рішенням для безпеки у відкритому коді. Про це повідомляє DevOps.
Що таке OSV-Scanner?
Перша версія OSV-Scanner вийшла у грудні 2022 року і стала частиною ініціатив Google у сфері безпеки з відкритим кодом. Разом з OSV.dev та OSV-SCALIBR вона формувала відкриту платформу для спрощення керування вразливостями.
Версія 2.0.0 інтегрує функції OSV-SCALIBR і значно розширює можливості інструмента. За словами Мітча Ешлі, віцепрезидента й керівника практики DevOps у The Futurum Group:
«Реліз OSV-Scanner V2.0 — це важливий крок уперед у сфері безпеки з відкритим кодом. Завдяки покращеному аналізу залежностей і підтримці шарового сканування контейнерів інструмент дає глибше розуміння програмних шарів і контейнерів для виявлення й усунення вразливостей».
Головні функції OSV-Scanner V2.0
1. Потужне виявлення залежностей
OSV-Scanner V2 розширив підтримку форматів залежностей і тепер охоплює:
• .NET’s deps.json для .NET.
• Python’s uv.lock для Python.
• JavaScript’s bun.lock і Node modules для JavaScript.
• Haskell’s freeze files для Haskell.
• Uber JAR-файли для Java та Go binaries.
2. Інтелектуальне сканування контейнерів
Тепер інструмент підтримує сканування контейнерів з урахуванням шарів для образів Debian, Ubuntu й Alpine. Він показує:
• На якому шарі з’явився потенційно вразливий пакет.
• Повну історію шарів і використані команди.
• Інформацію про базовий образ та ОС.
• Інтелектуальну фільтрацію для зменшення хибних спрацювань.
Також підтримується кілька мов програмування в контейнерах, зокрема Go, Java, Node і Python.
3. Інтерактивний HTML-звіт
Оновлений формат звіту (інтерактивний HTML) робить результати сканування зручними для аналізу. Він передбачає:
• Візуальну класифікацію за рівнем критичності.
• Фільтрацію за пакетом, ID і пріоритетом.
• Повні записи рекомендацій.
• Дані за кожним шаром контейнера.
4. Інтелектуальне усунення вразливостей для Maven
Після успіху функції guided remediation для npm Google розширила її на Java через підтримку pom.xml. Це дає можливість:
• Усувати вразливості у прямих і транзитивних залежностях.
• Керувати версіями через dependency management.
• Оновлювати залежності з мінімальним впливом на проєкт.
• Працювати з приватними реєстрами Maven.
Що далі в безпековій дорожній карті Google?
Компанія вже працює над такими кроками:
• Подальша інтеграція OSV-Scanner з OSV-SCALIBR.
• Підтримка нових мов та екосистем.
• Повна перевірка файлової системи контейнерів.
• Аналіз досяжності для пріоритизації реальних загроз.
• Підтримка VEX (Vulnerability Exchange) для колаборації.
OSV-Scanner V2.0.0 уже доступний і відкритий для використання.
Читайте також на ProIT, чому Google потрібен Wiz.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
