bencede
New member
Google, zayıflık tarayıcısının ikinci sürümünü açık kaynaklı projeler için yayınladı, bu da şimdi karmaşık projelerde ve konteynerlerde daha derin analizlere yol açtı. Ayrıca Maven aracılığıyla Java projelerini destekler ve etkileşimli filtrelenebilir bir HTML gibi sonuçları başlatır.
Bu sürümle Google, güvenlik açığı tarayıcısı açık kaynaklı araç 2022'yi (OSV tarayıcı) depo ve kaplarda dallanmış proje ve bağımlılık yapılarını inceleyen OSV Scaibr analiz kitaplığı (yazılım kompozisyon analizi kitaplığı) ile birleştirir.
Tarayıcı artık kabın görüntü seviyelerini analiz eder ve bir seviye paketinin eklendiği, temel görüntünün nasıl tasarlandığı, komutların gerçekleştirildiği ve hangi işletim sistemine dayandığı ifadeleri yapabilir. Muhtemelen görüntüyü etkilemeyen zayıf noktaları filtreleyin. Seviye analizi, Alpine OS, Debian ve Ubuntu'nun görüntüleri ve vokal ortamlardaki kod, Java, Node.js ve Python ile çalışır. Tarama komutu:
osv-scanner scan image <image-name>:<tag>
Buna ek olarak, tarayıcı daha sonraki proje ve konteyner formatlarında zayıflıklar keşfediyor: düğüm modülleri, python tekerlekler, java-uber-jars ve go-ikililer. Stack.yaml.lock.
Java ve Maven
Manifest ve blok dosyalarındaki bağımlılıkları inceleyen rehberli bir temizlik (rehberli ıslah), Nisan 2024'ten bu yana NPM paketleri için ve şimdi Mavens Pom.xml dosyalarını destekleyerek Java için de kullanılabilir. OSV tarayıcısı sadece bağımlılıkları incelemekle kalmaz, aynı zamanda yerel ve yerel ana popda değişiklikler yazar (override). Bir komut hala tüm çalışanları otomatik olarak güncellemek için deneyseldir. Maven temizliği şu anda sadece etkileşimli bir şekilde çalışır, bu nedenle kullanıcılar bir yedek oluşturmalıdır. Komut:
osv-scanner fix --non-interactive --strategy=override -M path/to/pom.xml
Etkileşimli sonuçlar
Etkileşimli, diğer yandan, yeni HTML biçimi, örneğin yerçekiminden, kap seviyesinden veya paket kimliklerinden sonra erişilebilir filtre seçenekleri sunan tarama sonuçları için gösterilmiştir. Temizlik problemleri için ayrıntılı bilgiler de hazırdır.
OSV tarayıcısı, bir güvenlik açığının şiddetini ve bir sonraki sekmede daha fazla bilgi gösterir.
(Resim: Google)
Google'ın açık kaynaklı güvenlik araçları, üç reklamlı OSV tarayıcısı, OSV Scalibr ve OSV.dev'dir. İkincisi, diğer iki aletin meta verilere geçtiği zayıf konum veritabanıdır. Tarayıcı ve kütüphane ayrılıncaya kadar, geçerli sürümle tarayıcı kütüphanenin resmi araç arayüzüdür, ancak örneğin tüm işlevler sırların taramasını eksik değildir.
Ancak, Google ekibi bunu sonraki sürümler için planlıyor. Ayrıca, araç gelecekte sistem dosya sistem dosyalarının tam yapısını analiz etmelidir. Diğer formatların ve dillerin de desteği de vardır.
(DSÖ)
Bu sürümle Google, güvenlik açığı tarayıcısı açık kaynaklı araç 2022'yi (OSV tarayıcı) depo ve kaplarda dallanmış proje ve bağımlılık yapılarını inceleyen OSV Scaibr analiz kitaplığı (yazılım kompozisyon analizi kitaplığı) ile birleştirir.
Tarayıcı artık kabın görüntü seviyelerini analiz eder ve bir seviye paketinin eklendiği, temel görüntünün nasıl tasarlandığı, komutların gerçekleştirildiği ve hangi işletim sistemine dayandığı ifadeleri yapabilir. Muhtemelen görüntüyü etkilemeyen zayıf noktaları filtreleyin. Seviye analizi, Alpine OS, Debian ve Ubuntu'nun görüntüleri ve vokal ortamlardaki kod, Java, Node.js ve Python ile çalışır. Tarama komutu:
osv-scanner scan image <image-name>:<tag>
Buna ek olarak, tarayıcı daha sonraki proje ve konteyner formatlarında zayıflıklar keşfediyor: düğüm modülleri, python tekerlekler, java-uber-jars ve go-ikililer. Stack.yaml.lock.
Java ve Maven
Manifest ve blok dosyalarındaki bağımlılıkları inceleyen rehberli bir temizlik (rehberli ıslah), Nisan 2024'ten bu yana NPM paketleri için ve şimdi Mavens Pom.xml dosyalarını destekleyerek Java için de kullanılabilir. OSV tarayıcısı sadece bağımlılıkları incelemekle kalmaz, aynı zamanda yerel ve yerel ana popda değişiklikler yazar (override). Bir komut hala tüm çalışanları otomatik olarak güncellemek için deneyseldir. Maven temizliği şu anda sadece etkileşimli bir şekilde çalışır, bu nedenle kullanıcılar bir yedek oluşturmalıdır. Komut:
osv-scanner fix --non-interactive --strategy=override -M path/to/pom.xml
Etkileşimli sonuçlar
Etkileşimli, diğer yandan, yeni HTML biçimi, örneğin yerçekiminden, kap seviyesinden veya paket kimliklerinden sonra erişilebilir filtre seçenekleri sunan tarama sonuçları için gösterilmiştir. Temizlik problemleri için ayrıntılı bilgiler de hazırdır.
OSV tarayıcısı, bir güvenlik açığının şiddetini ve bir sonraki sekmede daha fazla bilgi gösterir.
(Resim: Google)
Google'ın açık kaynaklı güvenlik araçları, üç reklamlı OSV tarayıcısı, OSV Scalibr ve OSV.dev'dir. İkincisi, diğer iki aletin meta verilere geçtiği zayıf konum veritabanıdır. Tarayıcı ve kütüphane ayrılıncaya kadar, geçerli sürümle tarayıcı kütüphanenin resmi araç arayüzüdür, ancak örneğin tüm işlevler sırların taramasını eksik değildir.
Ancak, Google ekibi bunu sonraki sürümler için planlıyor. Ayrıca, araç gelecekte sistem dosya sistem dosyalarının tam yapısını analiz etmelidir. Diğer formatların ve dillerin de desteği de vardır.
(DSÖ)