Google představil sadu nástrojů OSV-Scanner pro kontrolu neopravených zranitelností v kódu a aplikacích, přičemž bere v úvahu celý řetězec závislostí souvisejících s kódem. OSV-Scanner vám umožňuje identifikovat situace, kdy se aplikace stane zranitelnou kvůli problémům v jedné z knihoven používaných jako závislost. V tomto případě lze zranitelnou knihovnu použít nepřímo, tzn. být volán přes jinou závislost. Kód projektu je napsán v Go a distribuován pod licencí Apache 2.0.
OSV-Scanner dokáže automaticky rekurzivně skenovat adresářový strom a identifikovat projekty a aplikace podle přítomnosti adresářů git (informace o zranitelnosti se zjišťují analýzou hash odevzdání), souborů SBOM (Software Bill Of Material ve formátech SPDX a CycloneDX), manifestů nebo správci balíčků zámkových souborů, jako jsou Yarn, NPM, GEM, PIP a Cargo. Podporuje také skenování obsahu obrazů kontejnerů Docker vytvořených z balíčků z repozitářů Debianu.
Informace o zranitelnostech jsou převzaty z databáze OSV (Open Source Vulnerabilities), která pokrývá informace o bezpečnostních problémech v Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian a Alpine a také data o zranitelnostech v linuxovém jádře a informace ze zpráv o zranitelnosti v projektech hostovaných na GitHubu. Databáze OSV odráží stav opravy problému, označuje potvrzení s výskytem a opravou zranitelnosti, rozsah verzí ovlivněných zranitelností, odkazy na úložiště projektu s kódem a upozornění na problém. Poskytnuté API vám umožňuje sledovat projevy zranitelnosti na úrovni commitů a značek a analyzovat náchylnost odvozených produktů a závislostí na problém.
Zdroj: opennet.ru