繼公布開源計劃之后，谷歌又推出最大的開源漏洞數據庫

當地時間12月13日，谷歌宣布開源OSV-Scanner，該開源漏洞掃描儀可訪問各種項目的漏洞信息，加強軟件供應鏈安全。

谷歌軟件工程師Rex Pan向媒體介紹，該工具基Go語言編寫，由開源漏洞（OSV）數據庫提供支持，可以生成可靠和高質量的漏洞信息，填補了開發人員的軟件包清單與漏洞數據庫信息之間的空白。

掃描儀的原理是利用從OSV.dev數據庫中提取的數據，來識別一個項目的所有橫向依賴關系同時突出相關的漏洞。

OSV.dev數據庫擁有3.8萬個共建者，支持16個生態系統，包括所有主要語言、Linux發行版（Debian和Alpine）、安卓、Linux內核和OSS-Fuzz。安全告警數量比一年前的1.5個多，其中Linux（27.4%）、Debian（23.2%）、PyPI（9.5%）、Alpine（7.9%）和npm（7.1%）占據告警量前五。

10月20日，谷歌還推出了開源計劃GUAC（Graph for Understanding Artifact CompositionGUAC），加強軟件供應鏈安全。

上周，谷歌還發布了一份《安全展望》報告，呼吁組織開發和部署一個通用的SLSA框架，以防止篡改，提高完整性，并保護軟件包免受潛在威脅。

該公司提出的其他建議包括承擔額外的開源安全責任，并采用更全面的方法來解決近年來Log4j漏洞和SolarWinds事件等風險。

谷歌表示，“軟件供應鏈攻擊通常需要強大的技術才能和長期的承諾才能實現。復雜的行為者更有可能具有進行這些類型攻擊的意圖和能力。大多數組織都很容易受到軟件供應鏈攻擊，因為攻擊者會花時間瞄準與客戶網絡有可信連接的第三方提供商。然后，他們利用這種信任更深入地挖掘最終目標的網絡。”