name: OSV-Scanner PR Scan Escáner OSV Cuadro de mando de OpenSSF Boletín de calificaciones Go SLSA 3 Lanzamiento de GitHub

Utilice OSV-Scanner para encontrar vulnerabilidades existentes que afecten las dependencias de su proyecto.

OSV-Scanner proporciona una interfaz con soporte oficial para la base de datos OSV que conecta la lista de dependencias de un proyecto con las vulnerabilidades que las afectan.

Puedes utilizar el escáner OSV de dos maneras:

Como herramienta CLI: Ejecútela directamente en una terminal o en una canalización de CI/CD para escanear proyectos. Consulte la Guía de instalación para comenzar. Como biblioteca Go: importe el paquete Go para integrar la lógica de escaneo de vulnerabilidades en las aplicaciones Go. Dado que la base de datos OSV.dev es de código abierto y distribuida, tiene varios beneficios en comparación con las bases de datos y escáneres de asesoramiento de código cerrado:

Cada aviso proviene de una fuente abierta y autorizada (por ejemplo, la base de datos de avisos de RustSec ). Cualquiera puede sugerir mejoras a los avisos, lo que da como resultado una base de datos de muy alta calidad. El formato OSV almacena de forma inequívoca información sobre las versiones afectadas en un formato legible por máquina que se asigna con precisión a la lista de paquetes de un desarrollador. Todo lo anterior se traduce en menos notificaciones de vulnerabilidades y más prácticas, lo que reduce el tiempo necesario para resolverlas. ¡Consulta nuestra publicación del blog sobre anuncios para más detalles!