Google推出deps.dev API以检测开源安全漏洞

主要重点

• Google公布新的deps.dev API ，能够扫描开源代码中的漏洞及其他问题。
• 此API帮助开发者更轻松地使用deps.dev数据集，并方便地开发整合该平台的插件。
• 安全团队可将deps.dev API整合至持续集成和持续交付工具 中，以自动化网络安全任务。
• API的实际依赖图功能，可实现更准确的包代码扫描，详尽显示其组件。
• 新增的哈希查询功能可提高 供应链攻击 的检测能力。

Google最近推出了新款 deps.devAPI，这是一个专为检测开源代码中的安全漏洞及其他问题而设计的工具。根据Google的说明，这一API将帮助开发者更轻松地存取deps.dev数据集，并且能更方便地开发相关插件。

安全团队可利用这个API来整合至他们的持续集成（CI）和持续交付（CD）工具，从而实现网络安全任务的自动化。API提供的实际依赖图功能可以进行包代码的细致扫描，准确地列出所有组件，有助于开发者掌握库的最新状态。

Google还指出，API中新增的哈希查询支持能够提高对 供应链攻击 的检测效率。根据Google高级软件工程师JesperSarnesjo和产品经理NickyRingland的说法：“这提供了一组实际的依赖关系，类似于实际安装该包所得到的结果，这对于当包发生变更但开发者未更新锁定文件时特别有用。有了deps.devAPI，工具不仅能评估、监控，还能视觉化预期的（或意外的！）依赖关系。”

相关连结

总之，Google的deps.dev API为开发者与安全团队提供了一个强有力的工具，可以协助他们识别和管理开源代码中的潜在安全风险。