VOLTAR ÀS NOTÍCIAS
PesquisaBaixo

Google Lança OSV-Scanner V2: Ferramenta Avançada de Gestão de Vulnerabilidades em Código Aberto

3 min de leituraFonte: Google Security Blog
OSV-Scanner V2 HTML output interface showing container vulnerability analysis with severity filters and layer details

A Google anuncia o OSV-Scanner V2.0.0, com suporte ampliado para extração de dependências, varredura de containers e fluxos de remediação em múltiplos ecossistemas.

Equipe de Segurança de Código Aberto do Google Apresenta o OSV-Scanner V2.0.0

Rex Pan e Xueqin Cui, da Equipe de Segurança de Código Aberto do Google, anunciaram a disponibilidade geral do OSV-Scanner V2.0.0, uma grande atualização para a plataforma de gestão de vulnerabilidades em código aberto. Esta versão integra as capacidades do OSV-SCALIBR, expandindo o suporte para extração de dependências, varredura de containers e fluxos de remediação em múltiplos ecossistemas.

Principais Melhorias no OSV-Scanner V2

O OSV-Scanner V2 baseia-se nos fundamentos estabelecidos por sua versão anterior (lançada em dezembro de 2022) e pelo OSV-SCALIBR (disponibilizado em código aberto no início deste ano), oferecendo uma ferramenta unificada para detecção e remediação de vulnerabilidades. A atualização introduz três avanços principais:

1. Extração Aprimorada de Dependências com OSV-SCALIBR

O OSV-Scanner agora atua como a CLI oficial da biblioteca OSV-SCALIBR, estendendo o suporte para:

  • Manifestos de origem e arquivos de bloqueio (lockfiles):
    • .NET (deps.json)
    • Python (uv.lock)
    • JavaScript (bun.lock)
    • Haskell (cabal.project.freeze, stack.yaml.lock)
  • Artefatos:
    • Módulos Node, wheels Python, JARs uber Java e binários Go

2. Varredura de Containers com Consciência de Camadas

A ferramenta agora oferece varredura abrangente e com consciência de camadas para imagens de containers Debian, Ubuntu e Alpine, proporcionando:

  • Identificação das camadas onde os pacotes foram introduzidos
  • Histórico de camadas e rastreamento de comandos
  • Detecção de imagens base (via API deps.dev)
  • Identificação de distribuição/sistema operacional
  • Filtragem de vulnerabilidades sem impacto

Ecossistemas suportados:

  • Distribuições: Alpine, Debian, Ubuntu
  • Linguagens: Go, Java, Node.js, Python

3. Saída HTML Interativa e Remediação Guiada

  • Relatórios HTML agora incluem:
    • Detalhamento e filtragem por severidade
    • Isolamento de vulnerabilidades por pacote/ID
    • Insights específicos por camada para containers
  • Remediação guiada (anteriormente disponível para npm) agora suporta Maven pom.xml, permitindo:
    • Atualizações de dependências diretas e transitivas
    • Substituições na gestão de dependências
    • Integração com registros privados
    • Saída legível por máquina para automação de fluxos de trabalho

Roteiro e Desenvolvimentos Futuros

A Google delineou várias iniciativas futuras:

  • Convergência do OSV-SCALIBR: Integração completa dos recursos do OSV-SCALIBR na CLI do OSV-Scanner
  • Suporte ampliado a ecossistemas: Mais linguagens para remediação guiada e compatibilidade estendida com lockfiles
  • Responsabilização completa do sistema de arquivos: Rastreamento de binários carregados lateralmente em imagens de containers
  • Análise de alcançabilidade: Avaliação mais profunda do impacto de vulnerabilidades
  • Suporte a VEX: Adoção dos padrões Vulnerability Exchange (VEX) para melhor colaboração

Como Começar

O OSV-Scanner V2 está disponível para download no GitHub. A ferramenta continua fazendo parte do ecossistema mais amplo de segurança de código aberto da Google, que inclui o banco de dados de vulnerabilidades OSV.dev.

Para equipes de segurança, a atualização aborda desafios antigos em segurança de containers e gestão de dependências transitivas, enquanto o formato de saída HTML melhora a ação para desenvolvedores e auditores.

Compartilhar

TwitterLinkedIn