Mae Google wedi cyflwyno pecyn cymorth OSV-Scanner i wirio am wendidau heb eu cywiro mewn cod a chymwysiadau, gan ystyried y gadwyn gyfan o ddibyniaethau sy'n gysylltiedig â'r cod. Mae OSV-Scanner yn caniatáu ichi nodi sefyllfaoedd lle mae cais yn dod yn agored i niwed oherwydd problemau yn un o'r llyfrgelloedd a ddefnyddir fel dibyniaeth. Yn yr achos hwn, gellir defnyddio’r llyfrgell fregus yn anuniongyrchol, h.y. cael eu galw trwy ddibyniaeth arall. Mae cod y prosiect wedi'i ysgrifennu yn Go a'i ddosbarthu o dan drwydded Apache 2.0.
Gall OSV-Scanner sganio coeden gyfeiriaduron yn awtomatig yn rekursif, gan nodi prosiectau a chymwysiadau yn seiliedig ar bresenoldeb cyfeiriaduron Git (pennir gwybodaeth am fregusrwydd trwy ddadansoddi hashes ymrwymo), ffeiliau SBOM (Bill Deunydd Meddalwedd mewn fformatau SPDX a CycloneDX), a maniffestau neu gloi ffeiliau o reolwyr pecynnau fel Yarn, NPM, GEM, PIP, a Cargo. Mae hefyd yn cefnogi sganio llwyth tâl delweddau cynwysyddion Docker a adeiladwyd o becynnau mewn ystorfeydd. Debian.
Cymerir y wybodaeth am wendidau o gronfa ddata OSV (Open Source Vulnerabilities), sy'n cynnwys gwybodaeth am faterion diogelwch yn y storfeydd canlynol: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian ac Alpine, yn ogystal â data bregusrwydd cnewyllyn Linux a gwybodaeth o adroddiadau bregusrwydd mewn prosiectau a gynhelir ar GitHub. Mae cronfa ddata OSV yn adlewyrchu statws trwsio'r broblem, y ymrwymiadau a gyflwynodd ac a drwsiodd y bregusrwydd, yr ystod o fersiynau yr effeithiwyd arnynt, dolenni i ystorfa cod y prosiect, a'r hysbysiad problem. Mae'r API a ddarperir yn caniatáu canfod bregusrwydd ar lefel yr ymrwymiad a'r tag a dadansoddi effaith y bregusrwydd ar gynhyrchion deilliadol a dibyniaethau.
Ffynhonnell: opennet.ru
