谷歌进军漏洞管理市场,推出免费开源漏洞扫描工具

谷歌本周三宣布推出免费漏洞扫描器OSV-Scanner,为开发人员提供开源项目漏洞信息查询服务,谷歌宣称OSV-Scanner提供当前最大的社区可编辑开源漏洞数据库。

据悉,OSV-Scanner(https://github.com/google/osv-scanner)使开发人员能够自动将代码和依赖项与已知漏洞列表进行匹配,并确定是否有补丁或更新可用。

实际上,OSV-Scanner也为安全团队提供了强有力的漏洞管理工具,可以在整个软件供应链中自动发现和修补漏洞,在黑客有机会利用之前消除潜在的隐患。

进军漏洞管理市场

OSV-Scanner是在谷歌去年推出开源漏洞(OSV)模式和OSV.dev漏洞数据库服务之后发布的。今天,企业平均需要60天来修补关键风险漏洞,越来越多的企业都在努力提高漏洞管理水平。

对于谷歌来说,此举不仅仅是发布一个普通的漏洞扫描器,而是提供一个决定性的解决方案来主导漏洞管理市场,研究人员预计,到2026年漏洞管理市场的价值将达到187亿美元。

“我们对OSV-Scanner的计划不仅仅是开发一个简单的漏洞扫描器;我们希望开发最好的漏洞管理工具——这也将最大限度地减少修复已知漏洞的负担。”谷歌软件工程师Rex Pan在公告博客文章中说。

因此,谷歌计划扩展该解决方案,通过独立的CI操作提供与开发人员工作流程的更大集成,以安排和跟踪新漏洞,并构建更广泛的C/C++漏洞数据库。

OSV-Scanner有何不同?

借助OSV-Scanner,谷歌正在与该领域的一系列知名专业厂商展开直接竞争,例如Tenable,后者的Nessus漏洞解决方案去年取得了5.41亿美元的收入;提供分析驱动的漏洞自动化平台InsightVM的Rapid7去年收入也高达5.35亿美元。

上述漏洞管理解决方案提供持续的漏洞扫描功能以及可配置的报告,以便用户可以准确了解整个攻击面的潜在漏洞。

然而,Pan指出,与闭源数据库或漏洞扫描器不同,OSV-Scanner依赖于来自开源咨文,例如RustSec咨文数据库。

这意味着用户可以获得来自更广泛用户社区的改进建议,并随着时间的推移提高数据库的质量和覆盖范围,从而有可能检测到更广泛的漏洞。

前一篇预告|2022年第六届工业信息安全技能大赛复赛 倒计时!
后一篇《数字时代治理现代化研究报告(2022年)》