Ngày phát hành và Mục đích:
– Google đã chính thức ra mắt OSV-Scanner V2.0.0, một bản nâng cấp lớn cho công cụ quét lỗ hổng mã nguồn mở, vào ngày 17 tháng 3 năm 2025.
Tính năng Nâng cao:
– Phiên bản mới tích hợp khả năng của OSV-SCALIBR, mở rộng hỗ trợ cho nhiều phụ thuộc khác nhau và giới thiệu nhiều tính năng mới quan trọng.
- Trích xuất Phụ thuộc: Hỗ trợ .NET (deps.json), Python (uv.lock), JavaScript (bun.lock), Haskell (cabal.project.freeze và stack.yaml.lock), và nhiều loại tài sản bao gồm mô-đun Node, Python wheels, Java uber jars và Go binaries.
- Quét Container Nhận Thức về Layer: Cung cấp quét toàn diện cho các hình ảnh container Debian, Ubuntu và Alpine, bao gồm phân tích layer, nhận diện hình ảnh gốc và lọc lỗ hổng cụ thể cho môi trường container.
- Đầu ra HTML Tương tác: Cung cấp khả năng hình ảnh hóa nâng cao, bao gồm phân tích mức độ nghiêm trọng, tùy chọn lọc và thông tin chi tiết về lỗ hổng. Nó cũng bao gồm tính năng lọc layer và phân tích hình ảnh gốc.
Hướng dẫn Khắc phục:
– Công cụ hiện bao gồm hướng dẫn khắc phục cho Maven, bổ sung cho tính năng hướng dẫn khắc phục hiện có cho các gói npm. Điều này cho phép các nhà phát triển khắc phục các lỗ hổng phụ thuộc trực tiếp và gián tiếp thông qua việc cập nhật phiên bản trực tiếp hoặc ghi đè quản lý phụ thuộc.
Lợi ích của Mã nguồn Mở:
– Là một công cụ mã nguồn mở, OSV-Scanner V2.0.0 cung cấp các thông báo chất lượng cao có thể được cải thiện bởi các đóng góp của cộng đồng, tạo ra thông tin về lỗ hổng chính xác, có thể đọc được bằng máy và phân phối chính xác với các phụ thuộc gói.
Khả năng Sẵn có:
– Công cụ này có sẵn để tải về ngay lập tức từ kho GitHub chính thức, cho phép các nhà phát triển trên các ngôn ngữ lập trình khác nhau nâng cao tư thế bảo mật của họ và quản lý hiệu quả việc khắc phục lỗ hổng trong các phụ thuộc mã nguồn mở.
Bản phát hành này củng cố OSV-Scanner như một nền tảng của bảo mật chuỗi cung ứng mã nguồn mở, cầu nối khoảng cách giữa các cơ sở dữ liệu lỗ hổng và khắc phục có thể thực hiện.
