Google a annoncé mardi la disponibilité en code source libre d’OSV-Scanner, un scanner qui vise à faciliter l’accès aux informations sur les vulnérabilités de divers projets.
L’outil basé sur Go, alimenté par la base de données Open Source Vulnerabilities, est conçu pour relier «la liste des dépendances d’un projet aux vulnérabilités qui les affectent», a déclaré Rex Pan, ingénieur logiciel chez Google, dans un message partagé avec The Hacker News.
L’idée est d’identifier toutes les dépendances transitives d’un projet et de mettre en évidence les vulnérabilités pertinentes en utilisant les données extraites de la base de données OSV.dev.
Google a également indiqué que la plateforme open source prend en charge 16 écosystèmes, dont toutes les langues principales, les distributions Linux, Android, le noyau Linux et OSS-Fuzz.
OSV-Scanner arrive près de deux mois après que Google a lancé GUAC – abréviation de Graph for Understanding Artifact Composition – pour compléter Supply chain Levels for Software Artifacts dans le cadre de ses efforts visant à renforcer la sécurité de la chaîne d’approvisionnement en logiciels.
Parmi les autres recommandations formulées par l’entreprise figurent la prise en charge de responsabilités supplémentaires en matière de sécurité des logiciels libres et l’adoption d’une approche plus globale pour faire face à des risques tels que ceux présentés par la vulnérabilité de Log4j et l’incident de SolarWinds au cours des dernières années.
