Google lança nova versão do scanner de vulnerabilidades open source

A Google anunciou o lançamento do OSV-Scanner V2.0.0, uma nova versão do seu scanner gratuito de vulnerabilidades para open source que integra os recursos do OSV-SCALIBR, uma ferramenta de análise de composição de software, tornando-se a solução oficial da empresa para verificação de código e containers de linha de comando.

Com esta atualização, a ferramenta, introduzida em 2022 para ajudar os programadores a detetar falhas de segurança e mitigar riscos nos seus projetos, oferece suporte para extrair informações de ficheiros de manifesto e bloqueio de diversas linguagens, incluindo .NET, Python, JavaScript e Haskell. Além disso, a nova versão consegue analisar artefactos como módulos Node.js, ficheiros de pacotes Python, Java e binários Go. Outra novidade é a análise de imagens de containers Alpine, Debian e Ubuntu, o que permite identificar vulnerabilidades e compreender melhor o histórico e as camadas de cada imagem.

O scanner passa a incluir um formato de saída HTML interativo, que detalha informações sobre falhas de segurança, gravidade das vulnerabilidades e filtragem de pacotes de software.

Adicionalmente, foi introduzido suporte para correção guiada em projetos Maven, a atualização de dependências e a mitigação de riscos em pacotes diretos e transitivos. O OSV-Scanner também oferece agora saída legível por máquina para integrar a funcionalidade de correção automatizada nos fluxos de trabalho de desenvolvimento.

A Google planeia continuar a expandir as capacidades do OSV-Scanner, incluindo novas funcionalidades na interface de linha de comando, suporte a mais ecossistemas e melhorias na análise de acessibilidade. Além disso, a empresa pretende integrar a contabilização de cada ficheiro em imagens de containers e adicionar compatibilidade com o Vulnerability Exchange (VEX).

O OSV-Scanner V2.0.0 está disponível no GitHub, onde os programadores podem contribuir para o desenvolvimento da ferramenta e sugerir melhorias.