🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Google ra mắt công cụ OSV-Scanner để xác định các lỗ hổng mã nguồn mở

15/12/2022

Mới đây, Google đã ra mắt công cụ quét mã nguồn mở OSV-Scanner nhằm cho phép người dùng truy cập dễ dàng đến thông tin lỗ hổng về các dự án khác nhau.

Kỹ sư phần mềm Google Rex Pan cho biết rằng: Công cụ dựa trên Go, được thiết kế để kết nối "danh sách dependencies (thư viện, module, package,…) của dự án với các lỗ hổng ảnh hưởng đến chúng".

Ý tưởng là xác định tất cả dependencies của một dự án và làm nổi bật các lỗ hổng liên quan bằng cách sử dụng dữ liệu được lấy từ cơ sở dữ liệu OSV (OSV.dev).

Google cho biết nền tảng này hỗ trợ 16 hệ sinh thái, bao gồm tất cả các ngôn ngữ chính, bản phân phối Linux (Debian và Alpine), cũng như Android, Linux Kernel và OSS-Fuzz.

Kết quả của việc mở rộng này là kho dữ liệu OSV.dev đã tăng từ 15.000 cảnh báo bảo mật (vào một năm trước) lên hơn 38.000, với Linux (27,4%), Debian (23,2%), PyPI (9,5%), Alpine (7,9 %), và npm (7,1%) chiếm năm vị trí hàng đầu.

Ngoài ra, Google vẫn đang làm việc để kết hợp hỗ trợ cho các lỗ hổng C/C++ bằng cách xây dựng một "cơ sở dữ liệu chất lượng cao" liên quan đến việc thêm "siêu dữ liệu (metadata) mức cam kết chính xác vào CVEs".

OSV-Scanner xuất hiện gần hai tháng sau khi Google ra mắt GUAC – viết tắt của Graph for Understanding Artifact Composition – để bổ sung cho framework Supply chain Levels for Software Artifacts (SLSA hoặc "salsa") như một phần của nỗ lực tăng cường bảo mật chuỗi cung ứng phần mềm.

Tuần trước, Google cũng đã phát hành một báo cáo mới - "Quan điểm về bảo mật" (Perspectives on Security) - nhằm kêu gọi các tổ chức phát triển và triển khai SLSA để ngăn chặn giả mạo, cải thiện tính toàn vẹn và bảo mật phần mềm trước các mối đe dọa tiềm ẩn.

Công ty cho biết: "Hầu hết các tổ chức đều dễ bị tấn công chuỗi cung ứng phần mềm vì những kẻ tấn công thường nhắm mục tiêu vào các nhà cung cấp bên thứ ba có kết nối đáng tin cậy với mạng của khách hàng. Sau đó, lợi dụng kết nối đó để tấn công sâu hơn vào mạng của các mục tiêu".

Các khuyến nghị khác do công ty đưa ra bao gồm đảm nhận thêm các trách nhiệm bảo mật nguồn mở và áp dụng cách tiếp cận toàn diện hơn để giải quyết các rủi ro như rủi ro do lỗ hổng Log4jsự cố SolarWinds gây ra trong những năm gần đây.

Nguồn: thehackernews.com.

scrolltop