Google hekelt false positives door third-party dependency scanners

[Captain Kirk]

Google is niet te spreken over third-party dependency scanners die claimen dat er kwetsbaarheden in de producten van het techbedrijf aanwezig zijn, terwijl dat niet het geval is. Daardoor ontvangt Google naar eigen zeggen irrelevante bugmeldingen van beveiligingsonderzoekers. Een dependency scanner kijkt welke software op een host geïnstalleerd is en of daar bekende beveiligingslekken in voorkomen.

Volgens Google komt het vaak voor dat deze scanners kwetsbaarheden rapporteren die eigenlijk false positives zijn of dat het om zaken gaat die Google niet als 'security relevant' beschouwt. Het techbedrijf is nu met een blogposting gekomen om beveiligingsonderzoekers erop te wijzen om alleen zaken in Googles producten te melden die security relevant zijn.

Erik Varga van Google stelt dat de false positives die de scanners genereren in vier categorieën te verdelen zijn, namelijk ingetrokken kwetsbaarheden, onjuiste versies, verkeerd platform en niet security relevante meldingen. "De bevindingen van dependency scanners moeten met een korreltje zout worden genomen, aangezien er veel factoren zijn die beïnvloeden of een kwetsbaarheid in een programma op het gescande systeem van toepassing is", aldus Varga. Google hoopt dat de nu gegeven uitleg voor betere bugmeldingen van onderzoekers zal zorgen.

 

bron: https://www.security.nl