Google ha annunciato il rilascio di OSV-Scanner V2, la nuova versione dello strumento di scansione delle vulnerabilità open source, che introduce funzionalità avanzate per il rilevamento e la risoluzione delle falle di sicurezza in codice sorgente, container e pacchetti software.
Questo aggiornamento, che integra le capacità di OSV-SCALIBR, amplia il supporto a diversi ecosistemi software e introduce un nuovo formato interattivo in HTML per visualizzare i report di scansione in modo più chiaro e dettagliato.
OSV-Scanner è parte della piattaforma OSV.dev, creata per semplificare la gestione delle vulnerabilità nel software open source, fornendo dati accurati e aggiornamenti mirati sulle falle di sicurezza.
Le novità di OSV-Scanner V2
La nuova versione introduce diverse funzionalità avanzate, tra cui un migliorato sistema di estrazione delle dipendenze, una scansione più approfondita dei container e un meccanismo di remediation guidata per Maven.
Uno degli aggiornamenti più significativi riguarda l’integrazione con OSV-SCALIBR, che consente a OSV-Scanner di rilevare vulnerabilità anche in artefatti binari, come moduli Node.js, pacchetti Python, Uber JAR Java e binari Go.
Un’altra innovazione importante è la scansione layer-aware dei container, che permette di analizzare le immagini Docker e identificare esattamente in quale livello è stata introdotta una vulnerabilità. Il sistema è in grado di rilevare il sistema operativo del container, la cronologia delle modifiche e persino di filtrare vulnerabilità che potrebbero non avere impatto reale sull’immagine analizzata.
Un’altra funzione chiave è l’output interattivo in HTML, che migliora la visualizzazione dei risultati della scansione, rendendo più semplice la gestione e l’analisi dei dati rispetto al tradizionale output a riga di comando.
Per quanto riguarda la gestione delle dipendenze, OSV-Scanner V2 introduce una remediation guidata per i progetti Maven, consentendo di aggiornare automaticamente le versioni delle librerie vulnerabili con un impatto minimo sulla stabilità del codice.
Prossimi sviluppi e roadmap
Google ha annunciato che continuerà a migliorare OSV-Scanner nei prossimi mesi, con aggiornamenti che includeranno una maggiore copertura di ecosistemi software, un’analisi più approfondita dell’impatto delle vulnerabilità e il supporto per VEX (Vulnerability Exchange), per migliorare la collaborazione nella gestione delle falle di sicurezza.
Gli sviluppatori possono già scaricare e testare la nuova versione di OSV-Scanner V2 tramite il repository ufficiale su GitHub (link qui), contribuendo alla sua evoluzione con segnalazioni e suggerimenti.