Кампанія Google прадставіла інструментар OSV-Scanner для праверкі наяўнасці невыпраўленых уразлівасцяў у кодзе і прыкладаннях, які працуе з улікам усяго ланцужка звязаных з кодам залежнасцяў. OSV-Scanner дазваляе выяўляць сітуацыі, калі праграма становіцца ўразлівым з-за праблем у адной з бібліятэк, якія выкарыстоўваюцца ў якасці залежнасці. Пры гэтым уразлівая бібліятэка можа выкарыстоўвацца апасродкавана, г.зн. выклікацца праз іншую залежнасць. Код праекту напісаны на мове Go і распаўсюджваецца пад ліцэнзіяй Apache 2.0.
OSV-Scanner можа аўтаматычна рэкурсіўна сканаваць дрэва каталогаў, вызначаючы праекты і прыкладанні па наяўнасці git-каталогаў (інфармацыя аб уразлівасцях вызначаецца праз аналіз хэшаў комітаў), SBOM-файлаў (Software Bill Of Material у фарматах SPDX і CycloneDX), маніфестаў ці lock- пакетных мэнэджэраў, такіх як Yarn, NPM, GEM, PIP і Cargo. Таксама падтрымліваецца сканаванне начыння выяў docker-кантэйнераў, сабраных на аснове пакетаў з рэпазітараў Debian.
Інфармацыя аб уразлівасцях бярэцца з базы дадзеных OSV (Open Source Vulnerabilities), якая ахоплівае звесткі аб праблемах з бяспекай у рэпазітарах Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C #), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian і Alpine, а таксама дадзеныя аб уразлівасцях у ядры Linux і звесткі са справаздач аб уразлівасцях у праектах, размешчаных на GitHub. У базе OSV адлюстраваны статус выпраўлення праблемы, указаны коміты са з'яўленнем і выпраўленнем уразлівасці, дыяпазон схільных уразлівасці версій, спасылкі на рэпазітар праекта з кодам і апавяшчэнне аб праблеме. Які прадстаўляецца API дазваляюць на ўзроўні коммітаў і тэгаў адсачыць праява ўразлівасці і прааналізаваць схільнасць праблеме вытворных прадуктаў і залежнасцяў.
Крыніца: opennet.ru