Google пуска OSV-Scanner, скенер за уязвимости, осъзнаващ зависимостите

Google представи набора от инструменти OSV-Scanner за проверка за неотстранени уязвимости в кода и приложенията, като взема предвид цялата верига от зависимости, свързани с кода. OSV-Scanner ви позволява да идентифицирате ситуации, при които дадено приложение става уязвимо поради проблеми в една от библиотеките, използвани като зависимост. В този случай уязвимата библиотека може да се използва индиректно, т.е. да бъде извикан чрез друга зависимост. Кодът на проекта е написан на Go и се разпространява под лиценза Apache 2.0.

OSV-Scanner може автоматично рекурсивно да сканира дърво на директории, като идентифицира проекти и приложения чрез наличието на git директории (информацията за уязвимостите се определя чрез анализ на хешове на ангажименти), SBOM файлове (софтуерна спецификация във формати SPDX и CycloneDX), манифести или мениджъри на пакети за заключващи файлове като Yarn, NPM, GEM, PIP и Cargo. Той също така поддържа сканиране на съдържанието на изображения на контейнери на Docker, изградени от пакети от хранилища на Debian.

Информацията за уязвимостите се взема от базата данни OSV (Open Source Vulnerabilities), която обхваща информация за проблеми със сигурността в Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian и Alpine, както и данни за уязвимости в ядрото на Linux и информация от доклади за уязвимости в проекти, хоствани на GitHub. OSV базата данни отразява състоянието на корекцията на проблема, посочва ангажиментите с появата и корекцията на уязвимостта, диапазона от версии, засегнати от уязвимостта, връзки към хранилището на проекта с кода и известие за проблема. Предоставеният API ви позволява да проследявате проявлението на уязвимостите на ниво ангажименти и тагове и да анализирате податливостта на производни продукти и зависимости към проблема.

Източник: opennet.ru