Googles neuer Security-Scanner gegen Open-Source-Lücken
Mit einem neuen Scanner bringt Google erstmals einen OSV-Client heraus. Das Projekt soll Lücken in Open-Source-Paketen und deren Abhängigkeiten angehen.
Mit einem neuen Scanner erweitert Google sein Projekt "Open Source Vulnerabilities" (OSV). Es begann 2021 als Datenbank, die Schwachstellen in Open-Source-Software erfasst. Zum Start war jedoch lediglich eine Abfrage über eine API vorgesehen, nun steht Nutzern ein zugehöriger Client zur Verfügung.
Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Januar-iX: Datenbanken aus der Cloud.
Der Scanner untersucht die installierten Open-Source-Pakete auf einem System sowie die abhängigen Pakete. Deren Versionen gleicht er mit der OSV-Datenbank ab. Gefundene Lücken kann die Software direkt in eine Software Bill of Material (SBOM) übertragen, zum Start unterstützt der Scanner SPDX und CycloneDX. Alternativ lässt sich das Ergebnis als Lockfile oder im JSON-Format ausgeben.
Auf GitHub stellt Google fertige Pakete für Windows, macOS und Linux-Distributionen der aktuellen Version bereit. Der Scanner selbst steht als freie Software unter der Apache-2.0-Lizenz. Open Source ist auch an anderer Stelle angesagt: Mit dem offenen Charakter des OSV-Projekts wirbt Google bei den Anwendern um Security-Vertrauen.
(fo)
