La sécurité as code commence à infuser dans les entreprises. Pour embrasser le mouvement, Google a annoncé un outil qui rendra de bons services aux développeurs. Proposé gratuitement sur Github, OSV-Scanner détecte des failles aussi bien au niveau du code que des dépendances créées pour des applications et/ou services open source.
« Chaque dépendance contient potentiellement des vulnérabilités connues existantes ou de nouvelles failles qui pourraient être découvertes à tout moment. Il y a tout simplement trop de dépendances et de versions à suivre manuellement, une automatisation est donc nécessaire », explique la firme dans un billet de blog. « Exécuter OSV-Scanner sur votre projet permettra de trouver d'abord toutes les dépendances transitives utilisées en analysant les manifestes, les SBOM et les hachages de validation. Le scanner relie ensuite ces informations à la base de données OSV et affiche les vulnérabilités pertinentes pour votre projet ».
La base de données distribuée open source OSD.dev comme pilier
Intégré au tableau de bord de vérification des vulnérabilités d'OpenSSF, OSV-Scanner constitue une initiative supplémentaire de Google en matière de security as code en direction des développeurs open source. L'OSV-Scanner génère des informations de vulnérabilité venant alimenter la base de données distribuée open source OSV.dev, reposant sur le schéma de publication Open Source Vulnerabilty annoncé en 2021 par la firme de Mountain View.