Google hà introduttu u toolkit OSV-Scanner per verificà e vulnerabilità senza patch in u codice è l'applicazioni, tenendu in contu tutta a catena di dependenzii assuciati cù u codice. OSV-Scanner permette di identificà situazioni induve una applicazione diventa vulnerabile per prublemi in una di e biblioteche usate cum'è dependenza. In questu casu, a biblioteca vulnerabile pò esse usata indirettamente, i.e. esse chjamatu per una altra dependenza. U codice di u prughjettu hè scrittu in Go è distribuitu sottu a licenza Apache 2.0.
OSV-Scanner pò scansà automaticamente recursivamente un arburu di repertori, identificendu prughjetti è applicazioni basate nantu à a presenza di repertori Git (l'infurmazioni di vulnerabilità sò determinate analizendu l'hash di commit), i fugliali SBOM (Software Bill of Material in formati SPDX è CycloneDX), è i fugliali di manifesti o di blocchi da i gestori di pacchetti cum'è Yarn, NPM, GEM, PIP è Cargo. Supporta ancu a scansione di u payload di l'imaghjini di container Docker custruite da pacchetti in repositori. Debian.

L'infurmazioni nantu à e vulnerabilità sò pigliate da a basa di dati OSV (Open Source Vulnerabilities), chì copre l'infurmazioni nantu à i prublemi di sicurezza in i seguenti repositori: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian è Alpine, è ancu dati di vulnerabilità di u kernel Linux è infurmazioni da i rapporti di vulnerabilità in i prughjetti ospitati nantu à GitHub. A basa di dati OSV riflette u statu di correzione di u prublema, i commit chì anu introduttu è currettu a vulnerabilità, a gamma di versioni affettate, i ligami à u repositoriu di codice di u prughjettu è a notificazione di u prublema. L'API furnita permette a rilevazione di vulnerabilità à u livellu di commit è tag è l'analisi di l'impattu di a vulnerabilità nantu à i prudutti derivati è e dipendenze.

Source: opennet.ru
