La sécurité open-source a en fait été l’un des sujets les plus populaires en matière de sécurité d’entreprise au cours des 2 dernières années. Depuis l’attaque de la chaîne d’approvisionnement de SolarWinds, le décret exécutif du président Biden sur l’amélioration de la cybersécurité nationale et l’épreuve Log4j, la protection de la chaîne d’approvisionnement des logiciels est en fait une priorité.
Dans un effort pour aider les organisations à gérer les applications logicielles open source, Google a annoncé aujourd’hui le lancement d’OSV-Scanner, un scanner de vulnérabilité gratuit conçu pour offrir aux concepteurs un accès aux informations de vulnérabilité sur les projets open source, qui il prétend être la plus grande base de données modifiable par la communauté pour les vulnérabilités open source.
OSV-Scanner permet aux développeurs de faire correspondre instantanément le code et les dépendances par rapport aux listes de vulnérabilités connues et reconnaître si des spots ou des mises à jour sont disponibles.
En effet, cela donne aux groupes de sécurité un outil pour automatiser la découverte et la correction des vulnérabilités tout au long de la chaîne d’approvisionnement logicielle, afin qu’ils puissent se débarrasser des points d’entrée potentiels avant que les pirates n’aient la possibilité de les exploiter.
L’entrée de Google sur le marché de la gestion des vulnérabilités
La version fait suite au lancement par Google du schéma Open Source Vulnerability (OSV) et d’OSV.dev service de base de données de vulnérabilité l’année dernière. Et à un moment où de plus en plus d’entreprises ont du mal à gérer les vulnérabilités, les entreprises prenant en moyenne 60 jours pour corriger les vulnérabilités de danger cruciales.
Pour Google, cette décision ne fournit pas presque un scanner de vulnérabilité ordinaire, mais fournit une option concluante pour dominer le marché de la gestion des vulnérabilités, auquel les scientifiques se préparent pour atteindre une valeur de 18,7 milliards de dollars d’ici 2026.
« Notre préparation pour OSV-Scanner n’est pas seulement de développer un scanner de vulnérabilité de base ; nous voulons construire le meilleur outil de gestion des vulnérabilités – quelque chose qui réduira également le problème de la correction des vulnérabilités reconnues », a déclaré Rex Pan, Ingénieur d’application logicielle Google, dans l’article de déclaration.
En conséquence, le fournisseur se prépare à étendre l’option, en offrant une meilleure intégration avec les flux de travail des développeurs via des actions CI autonomes pour planifier et surveiller les nouvelles vulnérabilités, et en créant une plus grande base de données de vulnérabilités C/C .
Qu’est-ce qui distingue OSV-Scanner ?
Avec OSV-Scanner, Google est en concurrence avec une série de fournisseurs de services exclusifs reconnus dans le domaine, comme Tenable, qui a levé 541 millions de dollars de revenus en 2015 avec des options de vulnérabilité comme Nessus ; et Rapid7, qui a levé 535 millions de dollars de revenus en 2015 et utilise InsightVM, une plate-forme d’automatisation des vulnérabilités basée sur l’analyse.
Ces options offrent des capacités d’analyse continue des vulnérabilités ainsi que des rapports configurables afin que les utilisateurs puissent obtenir une vue précise des exploits possibles sur la surface d’attaque.
Pan suggère que, contrairement aux bases de données consultatives à source fermée ou aux scanners de vulnérabilité, OSV-Scanner s’appuie sur des avis provenant de sources ouvertes telles que la base de données consultative RustSec.
Cela signifie qu’un un plus grand nombre d’utilisateurs peut recommander des améliorations à l’avis et améliorer la qualité et la couverture de la base de données avec le temps, offrant ainsi la possibilité de détecter une plus grande variété de vulnérabilités.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir une compréhension de la technologie commerciale transformatrice et de négocier. Découvrez nos Instructions.
Toute l’actualité en temps réel, est sur L’Entrepreneur
