Cyberthreat.id – Google merilis peralatan baru untuk mengamankan rantai pasokan perangkat lunak (software supply chain) pada Selasa (13 Desember 2022).

Dengan alat gratis bernama OSV-Scanner, pengembang perangkat lunak sumber terbuka (open-source) akan lebih mudah menemukan kerentanan yang relevan dalam proyek yang dikerjakan.

Tahun lalu, Google terlebih dulu meluncurkan layanan OSV-dev, basis data kerentanan open-source terdistribusi untuk membantu pengembang. Layanan ini mencakup 16 ekosistem sumber terbuka dan basis data kerentanan yang berbeda dengan total 38.000 rekomendasi.

Ada pun dengan OSV-Scanner, pengembang dapat mencocokkan kode dan aktivitas dengan daftar kerentanan yang diketahui dan mengidentifikasi tambalan yang tersedia atau versi terbaru dari komponen perangkat lunak.

OSV-Scanner mengidentifikasi semua aktivitas yang digunakan oleh proyek dengan menganalisis manifes perangkat lunak, software bill of materials, dan hash, tutur Google di blog perusahaan.

Selanjutnya, alat tersebut terhubung ke OSV.dev untuk menampilkan kerentanan yang diketahui dalam proyek yang sedang dikerjakan.

OSV-Scanner mengotomatiskan penemuan dan penambalan kerentanan dalam rantai pasokan perangkat lunak.

Ini sesuai dengan kebijakan yang tertuang dalam Perintah Eksekutif Amerika Serikat 2021 yang diteken Presiden Joe Biden terkait keamanan siber. Bahwa, harus ada alat otomatis "yang memeriksa kerentanan yang diketahui dan potensial serta cara memulihkannya" sebagai persyaratan untuk standar nasional tentang pengembangan perangkat lunak yang aman.

Pengembang dapat mengunduh dan mencoba OSV-Scanner dari situs web osv.dev atau menggunakan pemeriksaan Kerentanan OpenSSF, Scorecard, untuk secara otomatis menjalankan pemindai di proyek GitHub, kata Google.[]