Google hà introduttu u toolkit OSV-Scanner per verificà e vulnerabilità senza patch in u codice è l'applicazioni, tenendu in contu tutta a catena di dependenzii assuciati cù u codice. OSV-Scanner permette di identificà situazioni induve una applicazione diventa vulnerabile per prublemi in una di e biblioteche usate cum'è dependenza. In questu casu, a biblioteca vulnerabile pò esse usata indirettamente, i.e. esse chjamatu per una altra dependenza. U codice di u prughjettu hè scrittu in Go è distribuitu sottu a licenza Apache 2.0.
OSV-Scanner pò scansà automaticamente ricursivamente un arbulu di repertoriu, identificendu prughjetti è applicazioni per a presenza di repertorii git (l'infurmazioni nantu à e vulnerabilità sò determinate per l'analisi di commit hashes), i fugliali SBOM (Software Bill Of Material in formati SPDX è CycloneDX), manifesti o blocca i gestori di pacchetti di fugliali cum'è Yarn, NPM, GEM, PIP è Cargo. Supporta ancu a scansione di u cuntenutu di l'imaghjini di u containeru Docker custruitu da i pacchetti da i repositori Debian.
L'infurmazione nantu à e vulnerabilità hè presa da a basa di dati OSV (Open Source Vulnerabilities), chì copre l'infurmazioni nantu à i prublemi di sicurezza in Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. (Python), RubyGems, Android, Debian è Alpine, è ancu e dati nantu à e vulnerabilità in u kernel Linux è l'infurmazioni da i rapporti di vulnerabilità in i prughjetti ospitati in GitHub. A basa di dati OSV riflette u statutu di a correzione di u prublema, indica l'impegni cù l'apparizione è a correzione di a vulnerabilità, a gamma di versioni affettati da a vulnerabilità, ligami à u repository di u prughjettu cù u codice, è una notificazione nantu à u prublema. L'API furnita permette di seguità a manifestazione di vulnerabilità à u livellu di commits è tags è analizà a suscettibilità di i prudutti derivati è dependenzii à u prublema.
Source: opennet.ru