Mới đây, Google đã ra mắt công cụ quét mã nguồn mở OSV-Scanner nhằm cho phép người dùng truy cập dễ dàng đến thông tin lỗ hổng về các dự án khác nhau.
Kỹ sư phần mềm Google Rex Pan cho biết rằng: Công cụ dựa trên Go, được thiết kế để kết nối "danh sách dependencies (thư viện, module, package,…) của dự án với các lỗ hổng ảnh hưởng đến chúng".
Ý tưởng là xác định tất cả dependencies của một dự án và làm nổi bật các lỗ hổng liên quan bằng cách sử dụng dữ liệu được lấy từ cơ sở dữ liệu OSV (OSV.dev).
Google cho biết nền tảng này hỗ trợ 16 hệ sinh thái, bao gồm tất cả các ngôn ngữ chính, bản phân phối Linux (Debian và Alpine), cũng như Android, Linux Kernel và OSS-Fuzz.
Kết quả của việc mở rộng này là kho dữ liệu OSV.dev đã tăng từ 15.000 cảnh báo bảo mật (vào một năm trước) lên hơn 38.000, với Linux (27,4%), Debian (23,2%), PyPI (9,5%), Alpine (7,9 %), và npm (7,1%) chiếm năm vị trí hàng đầu.
Ngoài ra, Google vẫn đang làm việc để kết hợp hỗ trợ cho các lỗ hổng C/C++ bằng cách xây dựng một "cơ sở dữ liệu chất lượng cao" liên quan đến việc thêm "siêu dữ liệu (metadata) mức cam kết chính xác vào CVEs".
OSV-Scanner xuất hiện gần hai tháng sau khi Google ra mắt GUAC – viết tắt của Graph for Understanding Artifact Composition – để bổ sung cho framework Supply chain Levels for Software Artifacts (SLSA hoặc "salsa") như một phần của nỗ lực tăng cường bảo mật chuỗi cung ứng phần mềm.
Tuần trước, Google cũng đã phát hành một báo cáo mới - "Quan điểm về bảo mật" (Perspectives on Security) - nhằm kêu gọi các tổ chức phát triển và triển khai SLSA để ngăn chặn giả mạo, cải thiện tính toàn vẹn và bảo mật phần mềm trước các mối đe dọa tiềm ẩn.
Công ty cho biết: "Hầu hết các tổ chức đều dễ bị tấn công chuỗi cung ứng phần mềm vì những kẻ tấn công thường nhắm mục tiêu vào các nhà cung cấp bên thứ ba có kết nối đáng tin cậy với mạng của khách hàng. Sau đó, lợi dụng kết nối đó để tấn công sâu hơn vào mạng của các mục tiêu".
Các khuyến nghị khác do công ty đưa ra bao gồm đảm nhận thêm các trách nhiệm bảo mật nguồn mở và áp dụng cách tiếp cận toàn diện hơn để giải quyết các rủi ro như rủi ro do lỗ hổng Log4j và sự cố SolarWinds gây ra trong những năm gần đây.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Fortinet đã phát hành các bản vá khẩn cấp cho một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến sản phẩm FortiOS SSL-VPN đang bị tin tặc khai thác trong thực tế.
Tín nhiệm mạng | Một phương pháp tấn công mới có thể được sử dụng để vượt qua lớp bảo vệ tường lửa ứng dụng web (WAF) của nhiều nhà cung cấp khác nhau và xâm nhập vào hệ thống, có khả năng cho phép kẻ tấn công giành quyền truy cập vào thông tin nhạy cảm của khách hàng và doanh nghiệp.
Tín nhiệm mạng | Pwn2Own Toronto 2022 đã kết thúc với việc những người chơi đã giành được 989.750 đô tiền thưởng cho 63 khai thác zero-day trong các sản phẩm tiêu dùng từ ngày 6 tháng 12 đến ngày 9 tháng 12.
Tín nhiệm mạng | Apple đã công bố một loạt các biện pháp bảo mật mới, bao gồm cài đặt Bảo vệ dữ liệu nâng cao cho phép sao lưu dữ liệu được mã hóa E2E trong dịch vụ iCloud của họ.
Tín nhiệm mạng | Cuộc thi hack Pwn2Own Toronto 2022 đã bắt đầu và gây chú ý với tin tức về vụ hack Samsung Galaxy S22 vào ngày đầu tiên của cuộc thi.
Tín nhiệm mạng | Một chiến dịch xâm nhập mới được phát hiện đã nhắm vào các công ty viễn thông và công ty cung cấp dịch vụ gia công quy trình kinh doanh (BPO) kể từ tháng 6 năm 2022.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
