谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner

“审查数以千计的依赖关系不是开发人员可以自己完成的。”谷歌开源安全团队软件工程师 Rex Pan 在发布的博文中说道。根据官方介绍，与闭源漏洞数据库和扫描器相比，OSV-Scanner 主要有以下优势：

• 每个咨询都有一个开放和权威的来源（例如 RustSec 咨询数据库）

• 任何人都可以对咨询提出改进建议，从而得到一个超高质量的数据库
• OSV 格式以机器可读的格式明确存储受影响版本的信息，并精确映射到开发人员的软件包列表上
• 更少、更可操作的漏洞通知，减少了企业解决漏洞所需的时间

对于 OSV-Scanner 的未来， Pan 介绍道，团队首先是通过提供独立的 CI 操作进一步与开发人员工作流集成，允许轻松设置和安排以跟踪新漏洞。团队还将持续改进 C/C++ 漏洞（由于缺乏标准包管理器而面临的挑战）、为 OSV-Scanner 添加独特的功能、提供 VEX 支持等。