ZURÜCK ZU NACHRICHTEN
ForschungNiedrig

Google veröffentlicht OSV-Scanner V2: Fortschrittliches Tool für Open-Source-Schwachstellenmanagement

2 Min. LesezeitQuelle: Google Security Blog
OSV-Scanner V2 HTML output interface showing container vulnerability analysis with severity filters and layer details

Google stellt OSV-Scanner V2.0.0 vor – ein leistungsstarkes Open-Source-Tool zur Erkennung und Behebung von Schwachstellen in Abhängigkeiten und Containern. Jetzt mit HTML-Berichten und geführter Behebung.

Google Open Source Security Team präsentiert OSV-Scanner V2.0.0

Rex Pan und Xueqin Cui vom Open Source Security Team von Google haben die allgemeine Verfügbarkeit von OSV-Scanner V2.0.0 angekündigt – ein bedeutendes Upgrade der Open-Source-Plattform für Schwachstellenmanagement. Diese Version integriert die Fähigkeiten von OSV-SCALIBR und erweitert die Unterstützung für Abhängigkeitsextraktion, Container-Scanning und Behebungsworkflows über mehrere Ökosysteme hinweg.

Wichtige Verbesserungen in OSV-Scanner V2

OSV-Scanner V2 baut auf den Grundlagen seines Vorgängers (veröffentlicht im Dezember 2022) und OSV-SCALIBR (Anfang dieses Jahres als Open Source veröffentlicht) auf und bietet ein einheitliches Tool zur Erkennung und Behebung von Schwachstellen. Das Update führt drei zentrale Fortschritte ein:

1. Erweiterte Abhängigkeitsextraktion mit OSV-SCALIBR

OSV-Scanner dient nun als offizielle CLI für die OSV-SCALIBR-Bibliothek und unterstützt:

  • Quellmanifeste und Lockfiles:
    • .NET (deps.json)
    • Python (uv.lock)
    • JavaScript (bun.lock)
    • Haskell (cabal.project.freeze, stack.yaml.lock)
  • Artefakte:
    • Node-Module, Python-Wheels, Java-Uber-JARs und Go-Binärdateien

2. Ebenenbewusstes Container-Scanning

Das Tool bietet nun umfassendes, ebenenbewusstes Scanning für Debian-, Ubuntu- und Alpine-Container-Images mit:

  • Identifizierung der Ebenen, in denen Pakete eingeführt wurden
  • Ebenenverlauf und Befehlsverfolgung
  • Erkennung von Basis-Images (über deps.dev API)
  • OS/Distributions-Fingerprinting
  • Filterung nicht relevanter Schwachstellen

Unterstützte Ökosysteme:

  • Distributionen: Alpine, Debian, Ubuntu
  • Sprachen: Go, Java, Node.js, Python

3. Interaktive HTML-Ausgabe und geführte Behebung

  • HTML-Berichte enthalten nun:
    • Aufschlüsselung nach Schweregrad und Filterung
    • Isolierung von Schwachstellen nach Paket/ID
    • Ebenenspezifische Einblicke für Container
  • Geführte Behebung (zuvor für npm verfügbar) unterstützt nun Maven pom.xml und ermöglicht:
    • Direkte und transitive Abhängigkeitsupdates
    • Überschreibungen des Abhängigkeitsmanagements
    • Integration privater Registries
    • Maschinenlesbare Ausgabe für Workflow-Automatisierung

Roadmap und zukünftige Entwicklungen

Google skizzierte mehrere bevorstehende Initiativen:

  • OSV-SCALIBR-Konvergenz: Vollständige Integration der OSV-SCALIBR-Funktionen in die OSV-Scanner-CLI
  • Erweiterte Ökosystemunterstützung: Zusätzliche Sprachen für geführte Behebung und breitere Lockfile-Kompatibilität
  • Vollständige Dateisystemverantwortlichkeit: Verfolgung von seitlich geladenen Binärdateien in Container-Images
  • Erreichbarkeitsanalyse: Tiefere Bewertung der Schwachstellenauswirkungen
  • VEX-Unterstützung: Übernahme von Vulnerability Exchange (VEX)-Standards für verbesserte Zusammenarbeit

Erste Schritte

OSV-Scanner V2 ist über GitHub zum Download verfügbar. Das Tool bleibt Teil des breiteren Open-Source-Sicherheitsökosystems von Google, zu dem auch die OSV.dev-Schwachstellendatenbank gehört.

Für Sicherheitsteams adressiert das Update langjährige Herausforderungen in der Container-Sicherheit und im Management transitiver Abhängigkeiten, während das HTML-Ausgabeformat die Handlungsfähigkeit für Entwickler und Auditoren gleichermaßen verbessert.

Teilen

TwitterLinkedIn