谷歌进军漏洞管理市场，推出免费开源漏洞扫描工具

谷歌本周三宣布推出免费漏洞扫描器OSV-Scanner，为开发人员提供开源项目漏洞信息查询服务，谷歌宣称OSV-Scanner提供当前最大的社区可编辑开源漏洞数据库。

据悉，OSV-Scanner（https://github.com/google/osv-scanner）使开发人员能够自动将代码和依赖项与已知漏洞列表进行匹配，并确定是否有补丁或更新可用。

实际上，OSV-Scanner也为安全团队提供了强有力的漏洞管理工具，可以在整个软件供应链中自动发现和修补漏洞，在黑客有机会利用之前消除潜在的隐患。

进军漏洞管理市场

OSV-Scanner是在谷歌去年推出开源漏洞(OSV)模式和OSV.dev漏洞数据库服务之后发布的。今天，企业平均需要60天来修补关键风险漏洞，越来越多的企业都在努力提高漏洞管理水平。

对于谷歌来说，此举不仅仅是发布一个普通的漏洞扫描器，而是提供一个决定性的解决方案来主导漏洞管理市场，研究人员预计，到2026年漏洞管理市场的价值将达到187亿美元。

“我们对OSV-Scanner的计划不仅仅是开发一个简单的漏洞扫描器；我们希望开发最好的漏洞管理工具——这也将最大限度地减少修复已知漏洞的负担。”谷歌软件工程师Rex Pan在公告博客文章中说。

因此，谷歌计划扩展该解决方案，通过独立的CI操作提供与开发人员工作流程的更大集成，以安排和跟踪新漏洞，并构建更广泛的C/C++漏洞数据库。

OSV-Scanner有何不同？

借助OSV-Scanner，谷歌正在与该领域的一系列知名专业厂商展开直接竞争，例如Tenable，后者的Nessus漏洞解决方案去年取得了5.41亿美元的收入；提供分析驱动的漏洞自动化平台InsightVM的Rapid7去年收入也高达5.35亿美元。

上述漏洞管理解决方案提供持续的漏洞扫描功能以及可配置的报告，以便用户可以准确了解整个攻击面的潜在漏洞。

然而，Pan指出，与闭源数据库或漏洞扫描器不同，OSV-Scanner依赖于来自开源咨文，例如RustSec咨文数据库。

这意味着用户可以获得来自更广泛用户社区的改进建议，并随着时间的推移提高数据库的质量和覆盖范围，从而有可能检测到更广泛的漏洞。