Google เปิดตัวเครื่องมือสแกนช่องโหว่ซอฟต์แวร์โอเพ่นซอร์ส

Google ออกเครื่องมือใหม่สำหรับนักพัฒนาสายโอเพ่นซอร์สเพื่อนำไปใช้สแกนหาช่องโหว่ในโปรเจ็คที่ตนใช้งานได้ เพื่อช่วยให้การใช้งานมีความมั่นคงปลอดภัยมากขึ้น

แน่นอนว่าในกลุ่มผู้พัฒนาซอฟต์แวร์ปัจจุบันมักมีการควบรวมนำซอฟต์แวร์ของผู้อื่นมาต่อยอดกันอยู่แล้ว แต่ความซับซ้อนในด้านความมั่นคงปลอดภัยคือเป็นเรื่องยากมากที่จะมาไล่หาช่องโหว่ด้วยตัวเอง เพราะไม่แน่ว่าซอฟต์แวร์นั้นอาจจะมีการรวมแพ็กเกจย่อยของคนอื่นมากอีกที ด้วยเหตุนี้เองจึงเป็นงานใหญ่มากสำหรับการติดตามให้แน่ใจว่าซอฟต์แวร์จะไม่มีช่องโหว่แฝงอยู่

Google OSV Scanner จะช่วยให้ผู้ใช้งานสามารถจับคู่โค้ดในทุก dependencies ของโปรเจ็คและแจ้งเตือนหากมีการอัปเดตด้านความมั่นคงปลอดภัย โดยเครื่องมือจะใช้คำแนะนำจากผู้เกี่ยวข้องและฐานข้อมูลสำหรับโอเพ่นซอร์ส OSV ที่ Google เปิดตัวมาเมื่อปี 2021 ซึ่งปัจจุบัน OSV.dev รองรับ ecosystem หลากหลายทั้ง Linux, Android, Debian, Alphive, PupI, npm, OSS-Fuzz และ Maven โดยแผนต่อไปของ OSV Scanner ทาง Google จะเพิ่มการรองรับใน C และ C++ ให้มากขึ้น รวมถึงความสามารถตั้งเวลาด้วย CI Actions และแนะนำว่าเวอร์ชันซอฟต์แวร์ขั้นต่ำที่ควรใช้ 

ที่มา : https://www.bleepingcomputer.com/news/security/google-releases-dev-tool-to-list-vulnerabilities-in-project-dependencies/