Española
0

Presentación de Google de OSV-Scanner para identificar con precisión las vulnerabilidades del software

Presentación de Google de OSV-Scanner para identificar con precisión las vulnerabilidades del software

Google Ayer martes puso a disposición y presentó su nuevo servicio OSV-Scanner de código abierto, que es un escáner para identificar vulnerabilidades en proyectos de código abierto. Al respecto, el ingeniero de software de Google admitió que el nuevo software fue escrito usando el lenguaje de programación Go y está basado en la base de datos de vulnerabilidad OSV.

Agregó además que el escáner en cuestión produce información confiable sobre las vulnerabilidades, y se reduce esta brecha de información entre la lista de paquetes de desarrollador y la información de la base de datos de vulnerabilidades. La idea principal detrás de este proyecto es identificar todas las dependencias transitivas en el software y usar la base de datos OSV y mostrar las vulnerabilidades relacionadas.

La dependencia transitiva es en realidad cualquier llamada de los componentes del programa a los que el software se refiere directamente. Google también declaró que su plataforma de desarrollo y escáner de código abierto admite 16 plataformas diferentes, incluidos los principales lenguajes de programación, varias distribuciones de Linux, así como Android, el kernel de Linux y OSS-Fuzz.

Soporte en 16 plataformas principales y lenguajes de programación principales

El resultado de esta ampliación de la funcionalidad y uso de OSV es que la base de datos de esta plataforma incluye más de 38.000 recomendaciones y advertencias de seguridad, más del doble que el año pasado con 15.000.

Escáner OSV de Google

En este sentido, Linux con un 27,4%, Debian con un 32,2%, PyPI con un 9,5%, alpine linux con un 7,9% y npm con un 7,1% constituyen el mayor número de estas advertencias. Google declaró además que está trabajando para ampliar la compatibilidad con los lenguajes C y C++ mediante la creación de una base de datos de calidad que incluye agregar metadatos de nivel de confirmación precisos a CVE, y esto es en realidad una provisión coherente de información de advertencia y brinda asesoramiento sobre vulnerabilidades para diferentes idiomas

Google OSV-Scanner se presentó casi dos meses después del lanzamiento de Google GUAC, y GUAC también se lanzó con el objetivo de reducir las vulnerabilidades en la cadena de suministro de software. La semana pasada, Google también publicó un nuevo informe de Perspectivas de seguridad en el que instó a las organizaciones a adoptar un marco SLSA (niveles de cadena de suministro para artefactos de software) común para evitar la manipulación, mejorar la integridad y proteger los paquetes de software contra las amenazas. .

Escáner OSV de Google

Otras recomendaciones que ofrece Google a este respecto incluyen asumir más responsabilidad en los productos de código abierto y adoptar un enfoque más holístico para lidiar potencialmente con vulnerabilidades como Log4j y SolarWinds que han ocurrido en los últimos años.

El gigante de las búsquedas en línea también afirmó que los ataques a la cadena de suministro de software generalmente requieren una gran habilidad técnica y un alto compromiso por parte del atacante cibernético, y que estas operaciones las llevan a cabo grupos altamente calificados. La empresa también confirmó que la mayoría de las empresas son vulnerables a los ataques a la cadena de suministro de software, y los atacantes suelen apuntar a proveedores de software de terceros que tienen buenas relaciones comerciales con los clientes para penetrar más profundamente en la red.

  • Google acusa a la empresa con sede en Barcelona de vender herramientas de espionaje online
  • Exponer la firma digital de Android de Samsung y usarla en malware
  • Corrección de 29 errores de seguridad en la nueva actualización de controladores de GPU Nvidia
  • Agregue la función de seguridad Passkey en la versión estable de Google Chrome

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Fill out this field
Fill out this field
Please enter a valid email address.
You need to agree with the terms to proceed

Most Viewed Posts
Menu