ጉግል ከኮዱ ጋር የተያያዙ ጥገኞችን አጠቃላይ ሰንሰለት ከግምት ውስጥ በማስገባት በኮድ እና አፕሊኬሽኖች ውስጥ ያልተጣበቁ ተጋላጭነቶችን ለመፈተሽ OSV-Scanner Toolkit አስተዋውቋል። OSV-Scanner እንደ ጥገኝነት ጥቅም ላይ ከዋሉት ቤተ-መጻሕፍት ውስጥ ባሉ ችግሮች ምክንያት አፕሊኬሽኑ የተጋለጠበትን ሁኔታ እንዲለዩ ያስችልዎታል። በዚህ ሁኔታ, የተጋለጠ ቤተ-መጽሐፍት በተዘዋዋሪ ጥቅም ላይ ሊውል ይችላል, ማለትም. በሌላ ጥገኝነት ይጠራሉ. የፕሮጀክት ኮድ በ Go ውስጥ ተጽፎ በApache 2.0 ፈቃድ ስር ተሰራጭቷል።
OSV-Scanner የማውጫውን ዛፍ በየጊዜው በመፈተሽ ፕሮጄክቶችን እና አፕሊኬሽኖችን በመለየት በgit ማውጫዎች (የተጋላጭነት መረጃ የሚወሰነው በ hashes ላይ በመተንተን ነው)፣ SBOM ፋይሎች (የሶፍትዌር ቢል ኦፍ ማቴሪያል በ SPDX እና CycloneDX ቅርፀቶች) ፣ ያሳያል ወይም እንደ Yarn፣ NPM፣ GEM፣ PIP እና Cargo ያሉ የጥቅል አስተዳዳሪዎችን ቆልፍ። እንዲሁም ከዲቢያን ማከማቻዎች ከጥቅሎች የተገነቡ የዶከር ኮንቴይነር ምስሎችን ይዘት መቃኘትን ይደግፋል።
ስለ ተጋላጭነቶች መረጃ ከ OSV (Open Source Vulnerabilities) የመረጃ ቋት የተወሰደ ሲሆን ይህም በ Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ውስጥ ያሉትን የደህንነት ችግሮች መረጃን ይሸፍናል. (ፓይዘን)፣ RubyGems፣ አንድሮይድ፣ ዴቢያን እና አልፓይን እንዲሁም በሊኑክስ ከርነል ውስጥ ያሉ የተጋላጭነቶች መረጃ እና በ GitHub ላይ በተስተናገዱ ፕሮጀክቶች ውስጥ የተጋላጭነት ሪፖርቶች መረጃ። የOSV ዳታቤዙ የችግሩን አስተካክል ሁኔታ ያንፀባርቃል፣ የተጋላጭነትን ገጽታ እና እርማት፣ በተጋላጭነት የተጎዱትን ስሪቶች ብዛት፣ ከኮዱ ጋር ከፕሮጀክት ማከማቻው ጋር የሚያገናኝ እና ስለችግሩ ማሳወቂያን ያሳያል። የቀረበው ኤፒአይ የተጋላጭነት መገለጫዎችን በፈፀሞች እና መለያዎች ደረጃ ለመከታተል እና የችግሩን ጥገኛነት ለመተንተን እና የመነሻ ምርቶችን እና ጥገኛዎችን ለመተንተን ይፈቅድልዎታል።
ምንጭ: opennet.ru