Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
2022
(Total:
967
)
-
▼
diciembre
(Total:
80
)
- La mejor cámara de un teléfono es la del Google Pi...
- Plataforma rusa de droga en la darknet es hackeada...
- Los submarinos de la Marina de Reino Unido usaban ...
- El Bloc de Notas en Windows 11 tendrá pestañas
- Windows 7 arranca en 28 minutos en un Pentium a 5 ...
- Vulnerabilidad crítica SMB (RCE sin autenticar) en...
- KDE Plasma
- GB Inceptor es una capturadora que funciona en uni...
- Los HDD alcanzarán el precio de 1 céntimo por GB a...
- Xiaomi Redmi Note 12: lanzamiento en Europa inminente
- Espacio reservado en un una unidad SSD (el sobreap...
- Francia multa a Microsoft con 60 millones $ por us...
- George Hotz, el hacker de la PS3 que iba a mejorar...
- TikTok reconoce que sus empleados espiaron a perio...
- El FBI recomienda usar un bloqueador de anuncios
- LastPass reconoce que robaron las contraseñas cifr...
- Google preocupada por su buscador ante la amenaza ...
- Diferencias entre PCIe Gen 3 y PCIe Gen 4: velocid...
- Mastodon ha ganado más de 2 millones de nuevos usu...
- ChatGPT no será gratis para siempre: OpenAI prevé ...
- Disponible nueva versión Tails: 5.8, la distro bas...
- En España, en caso de emergencia, todos los coches...
- Europa quiere que las baterías de los teléfonos se...
- Google empieza implementar el cifrado de extremo a...
- Una Roomba grabó a una mujer en el váter y las imá...
- Google trabaja en una IA para que puedas entender ...
- Epic Games multada por la privacidad de los menore...
- GitHub presenta escaneo gratuito de secretos para ...
- Grandes empresas tecnológicas (Meta, Microsoft, AW...
- Certificaciones Linux
- Dispositivos PLC: cómo funcionan y consejos de uso
- El Instituto Nacional de Estándares y Tecnología (...
- China prohíbe el uso de IA para la creación de imá...
- John Carmack abandona Meta tras 10 años al frente ...
- Twitter prohíbe promocionar cuentas en otras redes...
- Twitter suspende la cuenta de Mastodon y de decena...
- Un año después el 72% de las organizaciones siguen...
- El grupo de ransomware PLAY hackea la cadena de el...
- Dell presenta un portátil modular: Concept Luna, q...
- OSV-Scanner: un escáner de vulnerabilidades de Google
- El Senado de EE.UU. prohíbe el uso de TikTok en di...
- Microsoft prohíbe la minería de criptomonedas en s...
- Controladores de Windows maliciosos firmados por M...
- Top de herramientas y gadgets para hardware hacking
- Elon Muk suspende la cuenta de seguimiento de su a...
- Passkey en Google Chrome: el principio del fin de ...
- Baterías de sodio y azufre superan 4x a las de ion...
- Aumentan los ataques de ransomware en el sector sa...
- Un malware utiliza GitHub como servidor de Comando...
- Uber sufre una nueva filtración de datos
- ¿Qué son los ataque Side-channel (ataque de canal ...
- Twitter Blue será un 30% más caro desde iOs
- El scroll continuo llega a los resultados del busc...
- La historia detrás del botón «Me Gusta» de Facebook
- Google Drive, al igual que Google Chrome, también ...
- Apple M1 vs Apple M2
- Disponible el navegador Tor 12.0
- Encender un PC remotamente con Wake-on-Lan (WoL)
- Chrome presenta el modo ahorro de energía y memori...
- Apple añade cifrado de extremo a extremo a las cop...
- Lo más buscado en Google España en 2022
- Telegram ya funciona sin número ni tarjeta SIM
- Reparación de inicio en Windows 11
- Unidad SSD recibe la certificación de la NASA
- La FTC demanda a Microsoft y bloquea la adquisició...
- Ex-empleados de Twitter demandarán a la empresa
- ¿Es seguro y anónimo usar el navegador Tor?
- Investigan Neuralink (de Elon Musk) por maltrato a...
- Anuncios maliciosos en Google redirigen a sitios f...
- ¿Qué es y para que sirve ChatGPT?
- Disponible distro hacking ético: Kali Linux 2022.4
- Nivel RAID 1 en un NAS
- Herramienta de IA muestra qué aspecto tendrías en ...
- El sitio web del Vaticano recibe ataques proRusos ...
- Encuentran nuevas app con el troyano bancario Shar...
- Elon Musk espera poder implantar su ordenador Neur...
- Gorilla Glass Victus 2 para teléfonos móviles quie...
- Google vincula a una empresa española vendiendo sp...
- LastPass confirma un nuevo incidente de seguridad ...
- Apple amenaza con retirar la aplicación de Twitter...
- ► septiembre (Total: 72 )
-
▼
diciembre
(Total:
80
)
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
OSV-Scanner: un escáner de vulnerabilidades de Google
Google presenta OSV-Scanner, una herramienta escrita en Go que brinda a los desarrolladores de código abierto un fácil acceso para verificar vulnerabilidades sin parchear en el código y las aplicaciones, teniendo en cuenta toda la cadena de dependencias asociadas con el código.
OSV Scanner de Google es una nueva herramienta escrita en Go que permite buscar vulnerabilidades en las dependencias de software de código abierto (Linux Kernel, Android, Debian, Alpine, PyPI, npm, OSS-Fuzz, y Maven)
OSV-Scanner permite detectar situaciones en las que una aplicación se vuelve vulnerable debido a problemas en una de las bibliotecas utilizadas como dependencia. En este caso, la biblioteca vulnerable se puede usar indirectamente, es decir invocado a través de otra dependencia.
El año pasado, emprendimos un esfuerzo para mejorar la clasificación de vulnerabilidades para desarrolladores y consumidores de software de código abierto. Esto implicó la publicación del esquema de vulnerabilidad de código abierto (OSV) y el lanzamiento del servicio OSV.dev , la primera base de datos de vulnerabilidad de código abierto distribuida. OSV permite que todos los diferentes ecosistemas de código abierto y bases de datos de vulnerabilidades publiquen y consuman información en un formato simple, preciso y legible por máquina.
Los proyectos de software generalmente se construyen sobre una montaña de dependencias: en lugar de comenzar desde cero, los desarrolladores incorporan bibliotecas de software externas en los proyectos y agregan funcionalidades adicionales. Sin embargo, los paquetes de código abierto a menudo contienen fragmentos de código no documentados que se extraen de otras bibliotecas. Esta práctica crea lo que se conoce como «dependencias transitivas» en el software y significa que puede contener múltiples capas de vulnerabilidad que son difíciles de rastrear manualmente.
Las dependencias transitivas se han convertido en una fuente creciente de riesgo de seguridad de código abierto durante el último año. Un informe reciente de Endor Labs encontró que el 95 % de las vulnerabilidades de código abierto se encuentran en dependencias transitivas o indirectas, y otro informe separado de Sonatype también destacó que las dependencias transitivas representan seis de cada siete vulnerabilidades que afectan al código abierto.
Según Google, la nueva herramienta comenzará con la búsqueda de estas dependencias transitivas mediante el análisis de manifiestos, listas de materiales de software (SBOM) donde estén disponibles y hashes de confirmación. Luego se conectará con la base de datos de vulnerabilidades de código abierto (OSV) para mostrar las vulnerabilidades relevantes.
OSV-Scanner puede escanear automáticamente de forma recursiva un árbol de directorios, identificando proyectos y aplicaciones por la presencia de directorios git (la información sobre vulnerabilidades se determina a través del análisis de hashes de confirmación), archivos SBOM (Software Bill Of Material en formatos SPDX y CycloneDX), manifiestos o bloquear administradores de paquetes de archivos como Yarn, NPM, GEM, PIP y Cargo. También admite escanear el relleno de imágenes de contenedores docker creadas en base a paquetes de los repositorios de Debian.
El OSV-Scanner es el siguiente paso en este esfuerzo, ya que proporciona una interfaz con soporte oficial para la base de datos OSV que conecta la lista de dependencias de un proyecto con las vulnerabilidades que las afectan.
La información sobre vulnerabilidades se toma de la base de datos OSV (vulnerabilidades de código abierto), que cubre información sobre problemas de seguridad en Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian y Alpine, así como datos de vulnerabilidad del kernel de Linux e informes de vulnerabilidad del proyecto alojados en GitHub.
La base de datos OSV refleja el estado de corrección del problema, las confirmaciones con la aparición y corrección de la vulnerabilidad, el rango de versiones afectadas por la vulnerabilidad, enlaces al repositorio del proyecto con el código y la notificación del problema. La API proporcionada le permite rastrear la manifestación de una vulnerabilidad a nivel de confirmaciones y etiquetas y analizar la exposición al problema de los productos derivados y las dependencias.
Finalmente cabe mencionar que el código del proyecto está escrito en Go y se distribuye bajo la licencia Apache 2.0. Puedes consultar más detalles al respecto en el siguiente enlace.
Los desarrolladores pueden descargar y probar OSV-Scanner desde el sitio web osv.dev o usar la verificación de vulnerabilidades de OpenSSF Scorecard para ejecutar automáticamente el escáner en un proyecto de GitHub.
Fuentes:
https://www.linuxadictos.com/osv-scanner-un-escaner-de-vulnerabilidades-de-la-mano-de-google.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.