Google, kodla əlaqəli bütün asılılıqlar zəncirini nəzərə alaraq, kod və tətbiqlərdə yamaqsız boşluqları yoxlamaq üçün OSV-Scanner alət dəstini təqdim etdi. OSV-Scanner, asılılıq kimi istifadə edilən kitabxanalardan birindəki problemlər səbəbindən tətbiqin həssas olduğu vəziyyətləri müəyyən etməyə imkan verir. Bu halda, həssas kitabxana dolayı yolla istifadə edilə bilər, yəni. başqa asılılıq vasitəsilə çağırıla bilər. Layihə kodu Go proqramında yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır.
OSV-Scanner, Git qovluqlarının (zəiflik məlumatları commit heşlərini təhlil etməklə müəyyən edilir), SBOM fayllarının (SPDX və CycloneDX formatlarında Proqram Təminatı Materialları) mövcudluğuna əsasən layihələri və tətbiqləri müəyyən edərək, kataloq ağacını avtomatik olaraq rekursiv şəkildə skan edə və Yarn, NPM, GEM, PIP və Cargo kimi paket menecerlərindən faylları göstərə və ya kilidləyə bilər. O, həmçinin depolardakı paketlərdən qurulmuş Docker konteyner şəkillərinin faydalı yükünü skan etməyi dəstəkləyir. Debian.
Zəiflik məlumatları aşağıdakı depolardakı təhlükəsizlik məsələləri haqqında məlumatları əhatə edən OSV (Açıq Mənbə Zəiflikləri) verilənlər bazasından götürülmüşdür: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian və Alpine, eləcə də nüvə zəifliyi məlumatları Linux və GitHub-da yerləşdirilən layihələrdəki zəiflik hesabatlarından məlumatlar. OSV verilənlər bazası problemin həll statusunu, zəifliyi təqdim edən və düzəldən commit-ləri, təsirlənmiş versiyaların diapazonunu, layihənin kod depolarına keçidləri və problem bildirişini əks etdirir. Təqdim olunan API, commit və etiket səviyyəsində zəifliyin aşkarlanmasına və zəifliyin törəmə məhsullara və asılılıqlara təsirinin təhlilinə imkan verir.
Mənbə: opennet.ru
