기술 지원
문서
로그인
문의하기
구글은 오픈소스 개발자가 취약점 정보에 쉽게 액세스할 수 있는 무료 도구인 OSV-Scanner를 출시했습니다. 이 도구에는 프로젝트의 종속성 목록과 프로젝트에 영향을 미칠 수 있는 잠재적 취약성을 연결하는 OSV 데이터베이스에 대한 인터페이스가 포함되어 있다고 합니다. OSV-Scanner는 Linux, macOS 및 Windows에서 사용할 수 있습니다. 또한 이제 OpenSSF 스코어카드의 취약점 점검의 일부가 되었습니다.
Google 오픈 소스 보안팀의 소프트웨어 엔지니어인 렉스 팬은 블로그 게시물에서 "OSV-Scanner는 개발자의 패키지 목록과 취약성 데이터베이스의 정보 사이의 격차를 줄이는 신뢰할 수 있는 고품질의 취약성 정보를 생성합니다."라고 설명합니다.
Go 프로그래밍 언어로 작성된 OSV-Scanner는 오픈 소스 애플리케이션을 검사하여 내장된 종속성의 안전성을 분석하기 위한 것입니다. 따라서 프로젝트에 추가되는 소프트웨어 라이브러리는 미리 빌드된 기능을 제공하므로 개발자가 해당 기능을 처음부터 다시 만들 필요가 없습니다.
Google은 독립형 CI 작업을 통해 개발자 워크플로와 통합하고, 사소한 버전 범프를 통한 자동 취약성 완화, C/C++ 취약성 지원 개선 등의 기능을 추가하여 OSV-Scanner를 완전한 취약성 관리 도구로 전환할 계획입니다. 애플리케이션에서 OSV-Scanner를 실행하면 알려진 취약점이 있는 직접 및 전이 종속성 목록을 생성하며, 애플리케이션 개발자는 사용 가능하고 호환되는 경우 안전한 버전의 패키지를 지정하여 이를 해결할 수 있습니다.
npm audit 또는 Socket과 같은 JavaScript 전용 도구와 유사하지만 더 광범위한 패키징 시스템을 지원합니다. Android, crates.io, Debian GNU/Linux, GitHub Actions, Go, Hex, Linux 커널, Maven, npm, NuGet, OSS-Fuzz, Packagist, Pub, PyPI 및 RubyGems가 그 예입니다.
작동 방식은 프로젝트의 잠금 파일, 소프트웨어 자재 명세서(SBOM), git 디렉터리에서 가장 최근 커밋 해시를 검색한 다음, 개발자의 프로젝트에서 사용된 전이 종속성과 버전을 나열하고 마지막으로 해당 목록을 오픈 소스 취약점(OSV) 데이터베이스와 비교하는 것입니다(OSV.dev API를 통해).
이 글의 출처는 SCMedia의 기사입니다.
