Google, kodla əlaqəli bütün asılılıqlar zəncirini nəzərə alaraq, kod və tətbiqlərdə yamaqsız boşluqları yoxlamaq üçün OSV-Scanner alət dəstini təqdim etdi. OSV-Scanner, asılılıq kimi istifadə edilən kitabxanalardan birindəki problemlər səbəbindən tətbiqin həssas olduğu vəziyyətləri müəyyən etməyə imkan verir. Bu halda, həssas kitabxana dolayı yolla istifadə edilə bilər, yəni. başqa asılılıq vasitəsilə çağırıla bilər. Layihə kodu Go proqramında yazılmışdır və Apache 2.0 lisenziyası altında paylanmışdır.
OSV-Scanner avtomatik rekursiv olaraq kataloq ağacını skan edə bilər, git qovluqlarının (boşluqlar haqqında məlumat commit heshlərin təhlili ilə müəyyən edilir), SBOM fayllarının (SPDX və CycloneDX formatlarında Proqram Təminatı Sənədi), manifestlərin və ya proqramların mövcudluğu ilə layihə və proqramları müəyyən edir. Yarn, NPM, GEM, PIP və Cargo kimi fayl paket menecerlərini kilidləyin. O, həmçinin Debian repozitoriyalarından paketlərdən qurulmuş Docker konteyner şəkillərinin məzmununun skan edilməsini dəstəkləyir.
Zəifliklər haqqında məlumat Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI-də təhlükəsizlik problemləri haqqında məlumatları əhatə edən OSV (Açıq Mənbə Zəiflikləri) verilənlər bazasından götürülüb. ( Python), RubyGems, Android, Debian və Alpine, həmçinin Linux nüvəsindəki boşluqlar haqqında məlumatlar və GitHub-da yerləşdirilən layihələrdəki zəiflik hesabatlarından alınan məlumatlar. OSV verilənlər bazası problemin həllinin vəziyyətini əks etdirir, zəifliyin görünüşü və düzəldilməsi ilə öhdəlikləri, zəifliyin təsir etdiyi versiyaların diapazonunu, kodla layihə repozitoriyasına keçidləri və problem haqqında bildirişi göstərir. Təqdim olunan API sizə öhdəliklər və etiketlər səviyyəsində zəifliklərin təzahürünü izləməyə və törəmə məhsulların və problemdən asılılıqların həssaslığını təhlil etməyə imkan verir.
Mənbə: opennet.ru