OWASP CVE Lite CLI: nueva herramienta para buscar vulnerabilidades en sus proyectos

CVE Lite CLI es un escáner de vulnerabilidades gratuito y de código abierto reconocido oficialmente como un proyecto de incubadora OWASP, diseñado para llevar la seguridad de dependencia directamente a las terminales de los desarrolladores en lugar de dejarla enterrada en tuberías de CI. Mantenida por Sonu Kapoor y respaldada por la misma organización detrás de OWASP Top 10, la herramienta aborda una brecha de larga data en los flujos de trabajo de seguridad de los desarrolladores: la ausencia de una guía de remediación rápida, práctica y local.

Herramienta CLI OWASP CVE Lite La mayoría de los escáneres de seguridad están diseñados para tuberías, no para personas. Herramientas como las solicitudes de extracción de archivos de Dependabot, a las que los desarrolladores acceden "eventualmente", los escáneres de CI bloquean las fusiones horas después de que se revisa el código y los paneles de seguridad muestran listas de ID de CVE sin un camino claro hacia la resolución. CVE Lite CLI adopta un enfoque diferente: se ejecuta en el momento justo antes de que un desarrollador inserte el código, produciendo un plan de remediación concreto en lugar de solo una lista de identificadores de vulnerabilidad. CVE Lite CLI lee el archivo de bloqueo de un proyecto localmente y consulta la base de datos de vulnerabilidades de código abierto (OSV) en busca de datos de asesoramiento.

Ser aceptado como un proyecto de incubadora de OWASP significa que CVE Lite CLI ha sido revisado por profesionales de la seguridad y opera bajo una gobernanza impulsada por la comunidad y de proveedores neutrales. La publicación OWASP CVE Lite CLI: nueva herramienta para buscar vulnerabilidades en sus proyectos apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗