طرحت Google مجموعة أدوات OSV-Scanner للتحقق من الثغرات الأمنية غير المصححة في التعليمات البرمجية والتطبيقات، مع مراعاة سلسلة التبعيات الكاملة المرتبطة بالرمز. يتيح لك OSV-Scanner تحديد المواقف التي يصبح فيها التطبيق عرضة للخطر بسبب مشاكل في إحدى المكتبات المستخدمة كتبعية. في هذه الحالة، يمكن استخدام المكتبة الضعيفة بشكل غير مباشر، أي. يمكن استدعاؤها من خلال تبعية أخرى. كود المشروع مكتوب بلغة Go ويتم توزيعه بموجب ترخيص Apache 2.0.
يمكن لـ OSV-Scanner إجراء فحص متكرر لشجرة الدليل تلقائيًا، وتحديد المشاريع والتطبيقات من خلال وجود أدلة git (يتم تحديد المعلومات حول نقاط الضعف من خلال تحليل تجزئات الالتزام)، وملفات SBOM (قائمة المواد البرمجية بتنسيقات SPDX وCycloneDX)، والبيانات أو قفل مديري حزم الملفات مثل Yarn وNPM وGEM وPIP وCargo. كما أنه يدعم فحص محتويات صور حاوية Docker المبنية من حزم من مستودعات دبيان.
يتم الحصول على المعلومات حول الثغرات الأمنية من قاعدة بيانات OSV (الثغرات الأمنية مفتوحة المصدر)، والتي تغطي معلومات حول المشكلات الأمنية في Crates.io (Rust)، وGo، وMaven، وNPM (JavaScript)، وNuGet (C#)، وPackagist (PHP)، وPyPI. (Python)، وRubyGems، وAndroid، وDebian، وAlpine، بالإضافة إلى بيانات حول الثغرات الأمنية في Linux kernel ومعلومات من تقارير الثغرات الأمنية في المشاريع المستضافة على GitHub. تعكس قاعدة بيانات OSV حالة إصلاح المشكلة، وتشير إلى عمليات التنفيذ مع ظهور الثغرة الأمنية وتصحيحها، ونطاق الإصدارات المتأثرة بالثغرة الأمنية، والروابط إلى مستودع المشروع مع الكود، وإشعار حول المشكلة. تسمح لك واجهة برمجة التطبيقات المتوفرة بتتبع مظاهر الثغرات الأمنية على مستوى الالتزامات والعلامات وتحليل مدى حساسية المنتجات المشتقة والتبعيات للمشكلة.
المصدر: opennet.ru