Google推出depsdev API以检测开源安全漏洞

主要重点

Google最近推出了新款 depsdev API，这是一个专为检测开源代码中的安全漏洞及其他问题而设计的工具。根据Google的说明，这一API将帮助开发者更轻松地存取depsdev数据集，并且能更方便地开发相关插件。

安全团队可利用这个API来整合至他们的持续集成CI和持续交付CD工具，从而实现网络安全任务的自动化。API提供的实际依赖图功能可以进行包代码的细致扫描，准确地列出所有组件，有助于开发者掌握库的最新状态。

Google还指出，API中新增的哈希查询支持能够提高对 供应链攻击 的检测效率。根据Google高级软件工程师Jesper Sarnesjo和产品经理Nicky Ringland的说法：“这提供了一组实际的依赖关系，类似于实际安装该包所得到的结果，这对于当包发生变更但开发者未更新锁定文件时特别有用。有了depsdev API，工具不仅能评估、监控，还能视觉化预期的或意外的！依赖关系。”

相关连结

总之，Google的depsdev API为开发者与安全团队提供了一个强有力的工具，可以协助他们识别和管理开源代码中的潜在安全风险。