zurück zum Artikel

Mit einem neuen Scanner bringt Google erstmals einen OSV-Client heraus. Das Projekt soll Lücken in Open-Source-Paketen und deren Abhängigkeiten angehen.

Mit einem neuen Scanner erweitert Google sein Projekt "Open Source Vulnerabilities" (OSV). Es begann 2021 als Datenbank, die Schwachstellen in Open-Source-Software erfasst. Zum Start war jedoch lediglich eine Abfrage über eine API vorgesehen, nun steht Nutzern ein zugehöriger Client zur Verfügung.

iX Newsletter: Monatlich spannende Hintergründe zur neuen Ausgabe

Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E [1] In der nächsten Ausgabe geht's ums Titelthema der Januar-iX: Datenbanken aus der Cloud.

Der Scanner untersucht die installierten Open-Source-Pakete auf einem System sowie die abhängigen Pakete. Deren Versionen gleicht er mit der OSV-Datenbank ab. Gefundene Lücken kann die Software direkt in eine Software Bill of Material [2] (SBOM) übertragen, zum Start unterstützt der Scanner SPDX und CycloneDX. Alternativ lässt sich das Ergebnis als Lockfile oder im JSON-Format ausgeben.

Auf GitHub stellt Google fertige Pakete für Windows, macOS und Linux-Distributionen der aktuellen Version [3] bereit. Der Scanner selbst steht als freie Software unter der Apache-2.0-Lizenz. Open Source ist auch an anderer Stelle angesagt: Mit dem offenen Charakter des OSV-Projekts [4] wirbt Google bei den Anwendern um Security-Vertrauen.

[5]

(fo [6])

URL dieses Artikels:
https://www.heise.de/-7397479

Links in diesem Artikel:
[1] https://www.heise.de/newsletter/anmeldung.html?id=ix-inhalt
[2] https://www.heise.de/hintergrund/SBOMs-Wie-Stuecklisten-fuer-Software-funktionieren-7265763.html
[3] https://github.com/google/osv-scanner/releases/tag/v1.0.1
[4] https://www.heise.de/news/Security-Google-startet-Datenbank-zu-Schwachstellen-in-Open-Source-Projekten-5048244.html
[5] https://www.heise.de/ix/
[6] mailto:fo@heise.de

Copyright © 2022 Heise Medien