Google het die OSV-skandeerder-nutsmiddelstel bekendgestel om na te kyk vir ongelapte kwesbaarhede in kode en toepassings, met inagneming van die hele ketting van afhanklikhede wat met die kode geassosieer word. OSV-skandeerder laat jou toe om situasies te identifiseer waar 'n toepassing kwesbaar raak as gevolg van probleme in een van die biblioteke wat as 'n afhanklikheid gebruik word. In hierdie geval kan die kwesbare biblioteek indirek gebruik word, d.w.s. geroep word deur 'n ander afhanklikheid. Die projekkode is in Go geskryf en onder die Apache 2.0-lisensie versprei.
OSV-Scanner kan 'n gidsboom outomaties rekursief skandeer, projekte en toepassings identifiseer deur die teenwoordigheid van git-gidse (inligting oor kwesbaarhede word bepaal deur ontleding van commit hashes), SBOM-lêers (sagteware Bill Of Material in SPDX- en CycloneDX-formate), manifeste of sluit lêers pakketbestuurders soos Yarn, NPM, GEM, PIP en Cargo. Dit ondersteun ook die skandering van die inhoud van Docker-houerbeelde wat uit pakkette van Debian-bewaarplekke gebou is.
Inligting oor kwesbaarhede is geneem uit die OSV (Open Source Vulnerabilities) databasis, wat inligting oor sekuriteitsprobleme in die Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI dek (Python), RubyGems, Android, Debian en Alpine, sowel as data oor kwesbaarhede in die Linux-kern en inligting van kwesbaarheidverslae in projekte wat op GitHub aangebied word. Die OSV-databasis weerspieël die status van die probleemoplossing, dui die commits aan met die voorkoms en regstelling van die kwesbaarheid, die reeks weergawes wat deur die kwesbaarheid geraak word, skakels na die projekbewaarplek met die kode, en 'n kennisgewing oor die probleem. Die verskafde API laat jou toe om die manifestasie van kwesbaarhede op die vlak van commits en etikette op te spoor en die vatbaarheid van afgeleide produkte en afhanklikhede vir die probleem te ontleed.
Bron: opennet.ru