新的Google工具揭示了开源项目的依赖关系

谷歌一直在开发一个新的实验工具,帮助开发人员发现他们使用的开放源包/库的依赖关系以及他们目前的体育运动。

开源依赖关系安全

开源见解

开源见解 是谷歌云平台托管的工具’通过网站访问用户可以输入特定开源包的名称,并概述它们如何组合在一起。

表明:

  • 有关包装的信息(描述,所有权,链接)
  • 依赖关系(包取决于包的组件)
  • 家属(依赖于它的包)
  • 安全建议(包装和依赖项中的已知漏洞,非托管依赖项等)
  • 许可证信息

开源依赖关系安全

“在其他功能中,它提供了可视化和分析完整,传递依赖图形的交互式工具。它还具有一个比较工具,可以突出显示包的不同版本可能会影响您的依赖项,也许是通过更改自己的依赖项,添加许可要求或修复安全问题”开源见解团队 解释.

该工具目前显示有关50,000(Rust)货物包(板条箱),0.6百万个GO模块,420,000个Maven(Java)和360万NPM包(Node.js)的信息。谷歌正在处理addind额外的包装系统。

“该项目通过读取像NPM这样的系统的包主站或扫描Github和其他存储库托管站点,扫描它可以发现的所有可用软件包” they explained.

“目前,见解只能通过已知的包装模型来分析这些系统,因为它需要构建依赖图的包装信息。这意味着,至少现在,C或C ++没有数据,其没有明确的包装模型。”

提高开源供应链的安全性

作为企业’ 使用开源软件 增加和非托管开源所带来的风险(包括安全漏洞,过时或废弃组件以及许可合规性问题) 是普遍存在的,关注包装的许多和频繁的变化’S软件解决方案依赖于必须。

开发人员可以使用漏洞扫描仪和依赖性审核来识别漏洞,但开源见解为软件供应链的安全性提供更大的图像。

“Insights并不尝试替换标准工具集,而是为了为每个包装模型的整个生态系统的新鲜综合视图增强它,” Google explained.

“关键差异是,Insights数据来自第一原理,查看软件及其包装定义。结果可以与例如陈述包装的诊断基本不同或更大完整‘lock’文件。此外,通过洞察力呈现的数据定期重新评估,以保持最新,这在快速移动的开源开发世界中是重要的。”

Insights跟踪各种公共漏洞数据库以标记已知的安全问题。

谷歌说,常用包的数据通常是新鲜的,最新的,但注意到非活动和过时包的数据可能是静态的。

分享这个