Google enrichit son initiative « OSV » en lançant OSV-Scanner, un nouvel outil open source de scan de vulnérabilités qui s’appuie sur la base de failles OSV, elle aussi en open source.

En mars 2021, Google lançait un projet connu sous le nom de OSV Database. Objectif, normaliser une façon de présenter les vulnérabilités qui soit plus précise et universelle que CVE, offrir l’infrastructure d’une base de données distribuée regroupant toutes les vulnérabilités, encourager la communauté internationale à enrichir cette base de données.

Depuis, cette base a largement été enrichie et s’est imposé comme un des outils clés de l’univers de la cybersécurité pour déterminer quelles sont les vulnérabilités connues et comment les corriger.
La base contient actuellement 39738 vulnérabilités portant essentiellement autour de librairies et systèmes open source.

Cette base de données peut-être aisément accédée en ligne grâce à son moteur de recherche mais également par le biais d’API.

Afin de populariser encore un peu plus son projet et le rendre plus immédiatement utile aux développeurs, aux RSSI et autres experts sécurité des entreprises, Google a lancé ces derniers jours un nouvel outil : OSV Scanner. Cet outil, gratuit et open source, permet aux développeurs de logiciels open source d’accéder facilement aux informations sur les vulnérabilités relatives à leur projet.
Tout programme informatique est composé d’une multitude de dépendances – de bibliothèques et runtimes – qui évitent de réinventer la roue à chaque fois et accélèrent l’élaboration de nouveaux logiciels. Mais il n’est jamais facile de s’assurer que les dépendances utilisées sont à jour et d’en connaître les vulnérabilités.
Écrit en Go, OSV Scanner permet de relier la liste des dépendances d’un projet aux vulnérabilités qui les affectent (et qui sont répertoriées dans la base OSV).

Intégrer de tels scanners à toute chaîne DevOps et d’intégration continue est devenu une bonne pratique. Et OSV Scanner a été conçu dans cet objectif. En outre OSV-Scanner est désormais également intégré au système de vérification de l’OpenSSF Scorecard’s Vulnerability. Dit autrement, la les 1,2 million de projets régulièrement évalués par Scorecard disposent désormais d’une mesure plus complète de leur sécurité grâce à OSV Scanner.

 

À lire également :

Vulnérabilités des logiciels : Comment les entreprises font face, des RSSI témoignent !

Le système d’évaluation des vulnérabilités « CVSS » – quelles vulnérabilités à prioriser ?

Qualys unifie la surveillance des vulnérabilités dans le multicloud

Atera ajoute la gestion des vulnérabilités à sa plateforme RMM