Google je predstavio komplet alata OSV-Scanner za provjeru nezakrpljenih ranjivosti u kodu i aplikacijama, uzimajući u obzir cijeli lanac ovisnosti povezanih s kodom. OSV-Scanner vam omogućava da identifikujete situacije u kojima aplikacija postaje ranjiva zbog problema u jednoj od biblioteka koje se koriste kao zavisnost. U ovom slučaju, ranjiva biblioteka se može koristiti indirektno, tj. biti pozvan kroz drugu zavisnost. Kod projekta je napisan u Go i distribuiran pod licencom Apache 2.0.
OSV-Scanner može automatski rekurzivno skenirati stablo direktorija, identifikujući projekte i aplikacije po prisutnosti git direktorija (informacije o ranjivosti se određuju analizom hešova urezivanja), SBOM datoteka (Softverska lista materijala u SPDX i CycloneDX formatima), manifesta ili zaključajte fajlove za upravljanje paketima kao što su Yarn, NPM, GEM, PIP i Cargo. Također podržava skeniranje sadržaja Docker kontejnerskih slika izgrađenih od paketa iz Debianovih spremišta.
Informacije o ranjivosti su preuzete iz OSV (Open Source Vulnerabilities) baze podataka, koja pokriva informacije o sigurnosnim problemima u Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian i Alpine, kao i podatke o ranjivostima u Linux kernelu i informacije iz izvještaja o ranjivostima u projektima koji se nalaze na GitHubu. OSV baza podataka odražava status ispravke problema, ukazuje na urezivanje sa pojavom i ispravkom ranjivosti, opseg verzija na koje ranjivost utiče, veze do repozitorija projekta sa kodom i obaveštenje o problemu. Obezbeđeni API vam omogućava da pratite ispoljavanje ranjivosti na nivou urezivanja i oznaka i analizirate podložnost izvedenih proizvoda i zavisnosti na problem.
izvor: opennet.ru