當(dāng)?shù)貢r(shí)間12月13日，谷歌宣布開源OSV-Scanner，該開源漏洞掃描儀可訪問各種項(xiàng)目的漏洞信息，加強(qiáng)軟件供應(yīng)鏈安全。

谷歌軟件工程師Rex Pan向媒體介紹，該工具基Go語言編寫，由開源漏洞（OSV）數(shù)據(jù)庫提供支持，可以生成可靠和高質(zhì)量的漏洞信息，填補(bǔ)了開發(fā)人員的軟件包清單與漏洞數(shù)據(jù)庫信息之間的空白。

掃描儀的原理是利用從OSV.dev數(shù)據(jù)庫中提取的數(shù)據(jù)，來識別一個(gè)項(xiàng)目的所有橫向依賴關(guān)系同時(shí)突出相關(guān)的漏洞。

OSV.dev數(shù)據(jù)庫擁有3.8萬個(gè)共建者，支持16個(gè)生態(tài)系統(tǒng)，包括所有主要語言、Linux發(fā)行版（Debian和Alpine）、安卓、Linux內(nèi)核和OSS-Fuzz。安全告警數(shù)量比一年前的1.5個(gè)多，其中Linux（27.4%）、Debian（23.2%）、PyPI（9.5%）、Alpine（7.9%）和npm（7.1%）占據(jù)告警量前五。

下一步，谷歌計(jì)劃建立一個(gè)“高質(zhì)量數(shù)據(jù)庫”來支持C/C++漏洞，包括向CVEs添加 “精確的提交級元數(shù)據(jù)”。

10月20日，谷歌還推出了開源計(jì)劃GUAC（Graph for Understanding Artifact CompositionGUAC），加強(qiáng)軟件供應(yīng)鏈安全。

GUAC收集并綜合執(zhí)行此類分析所需的源自不同來源的所有信息，如軟件物料清單 （SBOM）、已知漏洞信息和關(guān)于某特定軟件如何構(gòu)建的簽名證明書等。用戶將能夠從GUAC查詢其軟件中最常使用的關(guān)鍵組件信息、相關(guān)依賴信息和任意潛在弱點(diǎn)和漏洞信息。

上周，谷歌還發(fā)布了一份《安全展望》報(bào)告，呼吁組織開發(fā)和部署一個(gè)通用的SLSA框架，以防止篡改，提高完整性，并保護(hù)軟件包免受潛在威脅。

該公司提出的其他建議包括承擔(dān)額外的開源安全責(zé)任，并采用更全面的方法來解決近年來Log4j漏洞和SolarWinds事件等風(fēng)險(xiǎn)。

谷歌表示，“軟件供應(yīng)鏈攻擊通常需要強(qiáng)大的技術(shù)才能和長期的承諾才能實(shí)現(xiàn)。復(fù)雜的行為者更有可能具有進(jìn)行這些類型攻擊的意圖和能力。大多數(shù)組織都很容易受到軟件供應(yīng)鏈攻擊，因?yàn)楣粽邥〞r(shí)間瞄準(zhǔn)與客戶網(wǎng)絡(luò)有可信連接的第三方提供商。然后，他們利用這種信任更深入地挖掘最終目標(biāo)的網(wǎng)絡(luò)?！?/p>

參考鏈接：https://thehackernews.com/2022/12/google-launches-largest-distributed.html