继公布开源计划之后 谷歌又发布最大的开源漏洞数据库

谷歌发布开源OSV-Scanner，该开源漏洞扫描仪可访问各种项目的漏洞信息，加强软件供应链安全。

扫描仪的原理是利用从OSV.dev数据库中提取的数据，从零开始来有效的识别一个以太坊项目的所有应用间的横向依赖关系是否可以同时突出相关的漏洞。

GUAC收集并综合执行此类分析所需的源自不同来源的所有信息，如软件物料清单（SBOM）、已知漏洞信息和关于某特定软件如何构建的签名证明书等。用户将能够从GUAC查询其软件中最常使用的关键组件信息、相关依赖信息和任意潜在弱点和漏洞信息。

该公司提出的其他建议包括承担额外的开源安全责任，并采用更全面的方法来解决近年来Log4j漏洞和SolarWinds事件等风险。

谷歌表示，“软件供应链攻击通常需要强大的技术才能和长期的承诺才能实现。复杂的行为者更有可能具有进行这些类型攻击的意图和能力。大多数组织都很容易受到软件供应链攻击，因为攻击者会花时间瞄准与客户网络有可信连接的第三方提供商。然后，他们利用这种信任更深入地挖掘最终目标的网络。”这种情况可能发生在企业内部，也可能发生在公共环境中。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!