Google Lanza OSV-Scanner V2: Herramienta Avanzada para Gestión de Vulnerabilidades en Código Abierto

Equipo de Seguridad de Código Abierto de Google Presenta OSV-Scanner V2.0.0

Rex Pan y Xueqin Cui, del Equipo de Seguridad de Código Abierto de Google, han anunciado la disponibilidad general de OSV-Scanner V2.0.0, una importante actualización de la plataforma de gestión de vulnerabilidades de código abierto. Esta versión integra las capacidades de OSV-SCALIBR, ampliando el soporte para extracción de dependencias, escaneo de contenedores y flujos de remediación en múltiples ecosistemas.

Mejoras Clave en OSV-Scanner V2

OSV-Scanner V2 se basa en los fundamentos establecidos por su predecesor (lanzado en diciembre de 2022) y OSV-SCALIBR (liberado como código abierto a principios de este año), ofreciendo una herramienta unificada para la detección y remediación de vulnerabilidades. La actualización introduce tres avances principales:

1. Extracción de Dependencias Mejorada con OSV-SCALIBR

OSV-Scanner ahora actúa como la CLI oficial para la librería OSV-SCALIBR, extendiendo el soporte para:

• Manifiestos de origen y archivos de bloqueo (lockfiles):
  • .NET (deps.json)
  • Python (uv.lock)
  • JavaScript (bun.lock)
  • Haskell (cabal.project.freeze, stack.yaml.lock)
• Artefactos:
  • Módulos de Node, wheels de Python, uber JARs de Java y binarios de Go

2. Escaneo de Contenedores con Conciencia de Capas

La herramienta ahora proporciona un escaneo integral con conciencia de capas para imágenes de contenedores Debian, Ubuntu y Alpine, ofreciendo:

• Identificación de las capas donde se introdujeron los paquetes
• Seguimiento del historial de capas y comandos
• Detección de imágenes base (vía API de deps.dev)
• Huella digital del sistema operativo/distribución
• Filtrado de vulnerabilidades no impactantes

Ecosistemas soportados:

• Distribuciones: Alpine, Debian, Ubuntu
• Lenguajes: Go, Java, Node.js, Python

3. Salida HTML Interactiva y Remediación Guiada

• Los informes HTML ahora incluyen:
  • Desglose y filtrado por severidad
  • Aislamiento de vulnerabilidades por paquete/ID
  • Información específica por capa para contenedores
• La remediación guiada (previamente disponible para npm) ahora soporta Maven pom.xml, permitiendo:
  • Actualizaciones de dependencias directas y transitivas
  • Sobrescrituras de gestión de dependencias
  • Integración con registros privados
  • Salida legible por máquina para automatización de flujos de trabajo

Hoja de Ruta y Desarrollos Futuros

Google ha delineado varias iniciativas próximas:

• Convergencia de OSV-SCALIBR: Integración completa de las características de OSV-SCALIBR en la CLI de OSV-Scanner
• Soporte ampliado para ecosistemas: Lenguajes adicionales para remediación guiada y mayor compatibilidad con archivos de bloqueo
• Responsabilidad total del sistema de archivos: Seguimiento de binarios cargados lateralmente en imágenes de contenedores
• Análisis de alcanzabilidad: Evaluación más profunda del impacto de las vulnerabilidades
• Soporte para VEX: Adopción de los estándares de Vulnerability Exchange (VEX) para mejorar la colaboración

Cómo Empezar

OSV-Scanner V2 está disponible para descarga a través de GitHub. La herramienta sigue formando parte del ecosistema más amplio de seguridad de código abierto de Google, que incluye la base de datos de vulnerabilidades OSV.dev.

Para los equipos de seguridad, esta actualización aborda desafíos persistentes en seguridad de contenedores y gestión de dependencias transitivas, mientras que el formato de salida HTML mejora la capacidad de acción para desarrolladores y auditores por igual.