НАЗАД К НОВОСТЯМ
ИсследованияНизкий

Google выпустил OSV-Scanner V2: Продвинутый инструмент управления уязвимостями в открытом ПО

2 мин чтенияИсточник: Google Security Blog
OSV-Scanner V2 HTML output interface showing container vulnerability analysis with severity filters and layer details

Google представил OSV-Scanner V2.0.0 — обновлённый инструмент для управления уязвимостями в открытом ПО с поддержкой сканирования контейнеров, расширенным анализом зависимостей и интерактивными отчётами.

Команда Google по безопасности открытого ПО представила OSV-Scanner V2.0.0

Рекс Пэн (Rex Pan) и Сюэцинь Цуй (Xueqin Cui) из команды Google по безопасности открытого ПО объявили о выпуске OSV-Scanner V2.0.0 — крупного обновления платформы для управления уязвимостями в открытом ПО. Новая версия интегрирует возможности OSV-SCALIBR, расширяя поддержку анализа зависимостей, сканирования контейнеров и рабочих процессов исправления уязвимостей в различных экосистемах.

Ключевые улучшения в OSV-Scanner V2

OSV-Scanner V2 развивает функциональность, заложенную в предыдущей версии (выпущенной в декабре 2022 года) и OSV-SCALIBR (открытой ранее в этом году), предлагая унифицированный инструмент для обнаружения и устранения уязвимостей. В обновлении представлены три основных улучшения:

1. Расширенный анализ зависимостей с помощью OSV-SCALIBR

Теперь OSV-Scanner является официальным CLI для библиотеки OSV-SCALIBR и поддерживает:

  • Манифесты и lock-файлы исходного кода:
    • .NET (deps.json)
    • Python (uv.lock)
    • JavaScript (bun.lock)
    • Haskell (cabal.project.freeze, stack.yaml.lock)
  • Артефакты:
    • Модули Node, Python wheels, Java uber JARs и Go-бинарники

2. Сканирование контейнеров с учётом слоёв

Инструмент теперь обеспечивает комплексное сканирование с учётом слоёв для контейнерных образов Debian, Ubuntu и Alpine, предоставляя:

  • Идентификацию слоёв, в которых были добавлены пакеты
  • Историю слоёв и отслеживание команд
  • Определение базового образа (через deps.dev API)
  • Идентификацию дистрибутива ОС
  • Фильтрацию некритичных уязвимостей

Поддерживаемые экосистемы:

  • Дистрибутивы: Alpine, Debian, Ubuntu
  • Языки: Go, Java, Node.js, Python

3. Интерактивные HTML-отчёты и управляемое исправление уязвимостей

  • HTML-отчёты теперь включают:
    • Разбивку по уровню критичности и фильтрацию
    • Изоляцию уязвимостей по пакетам и идентификаторам
    • Информацию о конкретных слоях для контейнеров
  • Управляемое исправление уязвимостей (ранее доступное для npm) теперь поддерживает Maven pom.xml, что позволяет:
    • Обновлять прямые и транзитивные зависимости
    • Переопределять управление зависимостями
    • Интегрироваться с частными реестрами
    • Генерировать машиночитаемый вывод для автоматизации рабочих процессов

Дорожная карта и будущие разработки

Google обозначила несколько предстоящих инициатив:

  • Конвергенция OSV-SCALIBR: Полная интеграция функций OSV-SCALIBR в CLI OSV-Scanner
  • Расширение поддержки экосистем: Дополнительные языки для управляемого исправления уязвимостей и расширенная совместимость с lock-файлами
  • Полная подотчётность файловой системы: Отслеживание сторонних бинарников в контейнерных образах
  • Анализ достижимости: Углублённая оценка влияния уязвимостей
  • Поддержка VEX: Внедрение стандартов Vulnerability Exchange (VEX) для улучшения взаимодействия

Начало работы

OSV-Scanner V2 доступен для загрузки на GitHub. Инструмент остаётся частью более широкой экосистемы безопасности открытого ПО Google, включающей базу уязвимостей OSV.dev.

Для команд по безопасности обновление решает давние проблемы в области безопасности контейнеров и управления транзитивными зависимостями, а формат HTML-отчётов повышает удобство использования для разработчиков и аудиторов.

Поделиться

TwitterLinkedIn