谷歌進軍漏洞管理市場，推出免費開源漏洞掃描工具

谷歌本周三宣布推出免費漏洞掃描器OSV-Scanner，為開發人員提供開源項目漏洞信息查詢服務，谷歌宣稱OSV-Scanner提供當前最大的社區可編輯開源漏洞數據庫。

據悉，OSV-Scanner（https://github.com/google/osv-scanner）使開發人員能夠自動將代碼和依賴項與已知漏洞列表進行匹配，并確定是否有補丁或更新可用。

實際上，OSV-Scanner也為安全團隊提供了強有力的漏洞管理工具，可以在整個軟件供應鏈中自動發現和修補漏洞，在黑客有機會利用之前消除潛在的隱患。

進軍漏洞管理市場

OSV-Scanner是在谷歌去年推出開源漏洞(OSV)模式和OSV.dev漏洞數據庫服務之后發布的。今天，企業平均需要60天來修補關鍵風險漏洞，越來越多的企業都在努力提高漏洞管理水平。

對于谷歌來說，此舉不僅僅是發布一個普通的漏洞掃描器，而是提供一個決定性的解決方案來主導漏洞管理市場，研究人員預計，到2026年漏洞管理市場的價值將達到187億美元。

“我們對OSV-Scanner的計劃不僅僅是開發一個簡單的漏洞掃描器；我們希望開發最好的漏洞管理工具——這也將最大限度地減少修復已知漏洞的負擔。”谷歌軟件工程師Rex Pan在公告博客文章中說。

因此，谷歌計劃擴展該解決方案，通過獨立的CI操作提供與開發人員工作流程的更大集成，以安排和跟蹤新漏洞，并構建更廣泛的C/C++漏洞數據庫。

OSV-Scanner有何不同？

借助OSV-Scanner，谷歌正在與該領域的一系列知名專業廠商展開直接競爭，例如Tenable，后者的Nessus漏洞解決方案去年取得了5.41億美元的收入；提供分析驅動的漏洞自動化平臺InsightVM的Rapid7去年收入也高達5.35億美元。

上述漏洞管理解決方案提供持續的漏洞掃描功能以及可配置的報告，以便用戶可以準確了解整個攻擊面的潛在漏洞。

然而，Pan指出，與閉源數據庫或漏洞掃描器不同，OSV-Scanner依賴于來自開源咨文，例如RustSec咨文數據庫。

這意味著用戶可以獲得來自更廣泛用戶社區的改進建議，并隨著時間的推移提高數據庫的質量和覆蓋范圍，從而有可能檢測到更廣泛的漏洞。