O Google liberou nesta semana uma ferramenta que pretende auxiliar desenvolvedores de software a encontrarem vulnerabilidades de segurança em dependências de código aberto. O OSV Scanner é gratuito e ajuda a identificar quais são os elementos que precisam de atualização, bem como os que necessitam de atenção por trazerem fragilidades em sua programação.
16 ecossistemas de programação são compatíveis com o programa, que funciona em projetos baseados em Linux, Android, Delbian, PyPI, Alpine e diversos outros. O OSC Scanner é derivado de uma ferramenta da própria empresa, também chamada OSV, que desde fevereiro do ano passado serve como um banco de dados de vulnerabilidades em códigos abertos, com mais de 23 mil entradas registradas somente em 2022.
A ferramenta lançada agora, basicamente, compara os projetos em desenvolvimento com as informações disponíveis na plataforma, indicando os problemas e pontos de atenção aos responsáveis. Até mesmo dependências transitivas são analisadas, com o Google indicando este como um caminho para reduzir a complexidade de monitoramentos desse tipo, principalmente em trabalhos enormes e que utilizam diferentes elementos.
O trabalho continua acontecendo, com o Google afirmando que, após o lançamento, tem a melhoria dos recursos e a adição de novas funcionalidades como objetivo. No futuro, o OSV Scanner deve ganhar melhor compatibilidade com projetos em C ou C++, além de um recurso que permite realizar checagens agendadas, de forma que os responsáveis por projetos não precisem realizar o processo manualmente.
A ferramenta pode ser baixada gratuitamente no GitHub ou no site oficial da iniciativa OSV. Como dito, o Scanner é gratuito e não tem restrições de uso, podendo ser usado desde em empresas até por usuários comuns.
Canaltech
