Mae Google wedi cyflwyno pecyn cymorth OSV-Scanner i wirio am wendidau heb eu cywiro mewn cod a chymwysiadau, gan ystyried y gadwyn gyfan o ddibyniaethau sy'n gysylltiedig Γ’'r cod. Mae OSV-Scanner yn caniatΓ‘u ichi nodi sefyllfaoedd lle mae cais yn dod yn agored i niwed oherwydd problemau yn un o'r llyfrgelloedd a ddefnyddir fel dibyniaeth. Yn yr achos hwn, gellir defnyddioβr llyfrgell fregus yn anuniongyrchol, h.y. cael eu galw trwy ddibyniaeth arall. Mae cod y prosiect wedi'i ysgrifennu yn Go a'i ddosbarthu o dan drwydded Apache 2.0.
Gall OSV-Scanner sganio coeden gyfeiriadur yn rheolaidd yn awtomatig, gan nodi prosiectau a chymwysiadau trwy bresenoldeb cyfeirlyfrau git (pennir gwybodaeth am wendidau trwy ddadansoddi hashes ymrwymo), ffeiliau SBOM (Meddalwedd Bill Of Material mewn fformatau SPDX a CycloneDX), amlygiadau neu rheolwyr pecynnau ffeiliau cloi fel Yarn, NPM, GEM, PIP a Cargo. Mae hefyd yn cefnogi sganio cynnwys delweddau cynhwysydd Docker a adeiladwyd o becynnau o ystorfeydd Debian.
Daw gwybodaeth am wendidau o gronfa ddata OSV (Open Source Vulnerabilities), sy'n ymdrin Γ’ gwybodaeth am broblemau diogelwch yn y Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian ac Alpine, yn ogystal Γ’ data ar wendidau yn y cnewyllyn Linux a gwybodaeth o adroddiadau bregusrwydd mewn prosiectau a gynhelir ar GitHub. Mae cronfa ddata OSV yn adlewyrchu statws y datrysiad problem, yn nodi'r ymrwymiad gydag ymddangosiad a chywiro'r bregusrwydd, yr ystod o fersiynau yr effeithir arnynt gan y bregusrwydd, dolenni i ystorfa'r prosiect gyda'r cod, a hysbysiad am y broblem. Mae'r API a ddarperir yn eich galluogi i olrhain amlygiad o wendidau ar lefel ymrwymiadau a thagiau a dadansoddi tueddiad cynhyrchion deilliadol a dibyniaethau i'r broblem.
Ffynhonnell: opennet.ru