03-01-2023, 08:06
Google enrichit l'initiative "OSV" en lançant OSV-Scanner, un nouvel outil open source d'analyse des vulnérabilités basé sur le système de suivi des bogues OSV, également open source.
En mars 2021, Google a lancé un projet appelé la base de données OSV. Il vise à normaliser une méthodologie de cartographie des vulnérabilités plus précise et universelle que CVE, à fournir l'infrastructure d'une base de données distribuée de toutes les vulnérabilités et à encourager la communauté internationale à renforcer cette base de données.
Depuis lors, cette base de données a été considérablement améliorée et s'est imposée comme l'un des outils les plus importants dans le monde de la cybersécurité pour déterminer les vulnérabilités connues et comment les corriger.
La base de données contient actuellement 39738 vulnérabilités, dont la plupart sont liées à des bibliothèques et des systèmes open source.
Cette base de données est facilement accessible en ligne via des API ainsi que des moteurs de recherche.
Pour rendre ce projet un peu plus populaire et immédiatement utile aux développeurs, RSSI et autres professionnels de la sécurité d'entreprise, Google a publié ces derniers jours un nouvel outil, le scanner OSV. Cet outil gratuit et open source permet aux développeurs de logiciels open source d'accéder facilement aux informations sur les vulnérabilités pertinentes pour leurs projets. Tous les programmes informatiques sont constitués d'un grand nombre de dépendances (bibliothèques et runtimes). Ceux-ci accélèrent le développement de nouveaux logiciels au lieu de réinventer la roue à chaque fois. Cependant, il n'est jamais facile de s'assurer que les dépendances utilisées sont à jour et d'être au courant des vulnérabilités. Écrit en Go, OSV Scanner vous aide à relier la liste des dépendances de votre projet aux vulnérabilités qui affectent votre projet (et sont répertoriées dans la base de données OSV).
L'intégration de tels scanners dans chaque DevOps et chaîne d'intégration continue a fait ses preuves. OSV Scanner a été développé à cet effet. De plus, le scanner OSV a également été intégré au système de vérification des vulnérabilités OpenSSF Scorecard. Autrement dit, les 1,2 million de projets régulièrement évalués par Scorecard disposent désormais de mesures de sécurité plus complètes grâce au scanner OSV.
En mars 2021, Google a lancé un projet appelé la base de données OSV. Il vise à normaliser une méthodologie de cartographie des vulnérabilités plus précise et universelle que CVE, à fournir l'infrastructure d'une base de données distribuée de toutes les vulnérabilités et à encourager la communauté internationale à renforcer cette base de données.
Depuis lors, cette base de données a été considérablement améliorée et s'est imposée comme l'un des outils les plus importants dans le monde de la cybersécurité pour déterminer les vulnérabilités connues et comment les corriger.
La base de données contient actuellement 39738 vulnérabilités, dont la plupart sont liées à des bibliothèques et des systèmes open source.
Cette base de données est facilement accessible en ligne via des API ainsi que des moteurs de recherche.
Pour rendre ce projet un peu plus populaire et immédiatement utile aux développeurs, RSSI et autres professionnels de la sécurité d'entreprise, Google a publié ces derniers jours un nouvel outil, le scanner OSV. Cet outil gratuit et open source permet aux développeurs de logiciels open source d'accéder facilement aux informations sur les vulnérabilités pertinentes pour leurs projets. Tous les programmes informatiques sont constitués d'un grand nombre de dépendances (bibliothèques et runtimes). Ceux-ci accélèrent le développement de nouveaux logiciels au lieu de réinventer la roue à chaque fois. Cependant, il n'est jamais facile de s'assurer que les dépendances utilisées sont à jour et d'être au courant des vulnérabilités. Écrit en Go, OSV Scanner vous aide à relier la liste des dépendances de votre projet aux vulnérabilités qui affectent votre projet (et sont répertoriées dans la base de données OSV).
L'intégration de tels scanners dans chaque DevOps et chaîne d'intégration continue a fait ses preuves. OSV Scanner a été développé à cet effet. De plus, le scanner OSV a également été intégré au système de vérification des vulnérabilités OpenSSF Scorecard. Autrement dit, les 1,2 million de projets régulièrement évalués par Scorecard disposent désormais de mesures de sécurité plus complètes grâce au scanner OSV.
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
