기술 지원
문서
로그인
문의하기
Google, 오픈 소스 개발자를 위한 무료 취약점 스캐너 출시
2022년 12월 28일 TuxCare 홍보팀
구글은 오픈소스 개발자들이 취약점 정보에 쉽게 접근할 수 있는 무료 도구인 OSV-Scanner를 출시했습니다. 이 도구에는 프로젝트의 종속성 목록과 프로젝트에 영향을 미칠 수 있는 잠재적 취약성을 연결하는 OSV 데이터베이스에 대한 인터페이스가 포함되어 있다고 합니다. OSV-Scanner는 Linux, 맥OS, 윈도우에서 사용할 수 있습니다. 또한 이제 OpenSSF 스코어카드의 취약점 점검의 일부가 되었습니다.
Google 오픈 소스 보안팀의 소프트웨어 엔지니어인 렉스 팬은 블로그 게시물에서 "OSV 스캐너는 개발자의 패키지 목록과 취약성 데이터베이스의 정보 사이의 격차를 좁히는 신뢰할 수 있는 고품질 취약성 정보를 생성합니다."라고 말합니다.
Go 프로그래밍 언어로 작성된 OSV-Scanner는 오픈 소스 애플리케이션을 검사하여 임베디드 종속성의 안전성을 분석하기 위한 것입니다. 따라서 프로젝트에 추가되는 소프트웨어 라이브러리는 미리 빌드된 기능을 제공하므로 개발자가 해당 기능을 처음부터 다시 만들 필요가 없습니다.
Google은 독립형 CI 작업을 통해 개발자 워크플로와 통합하고, 마이너 버전 범프를 통한 자동 취약성 완화, C/C++ 취약성 지원 개선과 같은 기능을 추가하여 OSV-Scanner를 완전한 취약성 관리 도구로 전환할 계획입니다. 이 작업은 애플리케이션에서 OSV-Scanner를 실행할 때 수행할 수 있으며, 알려진 취약점이 있는 직접 및 전이 종속성 목록을 생성하여 애플리케이션 개발자가 사용 가능하고 호환되는 경우 안전한 버전의 패키지를 지정하여 해결할 수 있습니다.
npm audit 또는 Socket과 같은 JavaScript 전용 도구와 유사하지만 더 광범위한 패키징 시스템을 지원합니다. Android, crates.io, Debian GNU/Linux, GitHub Actions, Go, Hex, Linux Kernel, Maven, npm, NuGet, OSS-Fuzz, Packagist, Pub, PyPI 및 RubyGems가 그 예입니다.
작동 방식은 프로젝트의 잠금 파일, 소프트웨어 자재 명세서(SBOM), git 디렉터리에서 가장 최근 커밋 해시를 검색한 다음, 개발자의 프로젝트에 사용된 전이 종속성과 버전을 나열하고 마지막으로 해당 목록을 오픈 소스 취약점(OSV) 데이터베이스와 비교(OSV.dev API를 통해)하는 것입니다.
이 글의 출처는 SCMedia의 기사입니다.
