Google hat das OSV-Scanner-Toolkit eingeführt, um nach ungepatchten Schwachstellen in Code und Anwendungen zu suchen und dabei die gesamte Abhängigkeitskette im Zusammenhang mit dem Code zu berücksichtigen. Mit OSV-Scanner können Sie Situationen identifizieren, in denen eine Anwendung aufgrund von Problemen in einer der als Abhängigkeit verwendeten Bibliotheken angreifbar wird. In diesem Fall kann die anfällige Bibliothek indirekt genutzt werden, d. h. über eine andere Abhängigkeit aufgerufen werden. Der Projektcode ist in Go geschrieben und wird unter der Apache 2.0-Lizenz vertrieben.
OSV-Scanner kann einen Verzeichnisbaum automatisch rekursiv scannen und Projekte und Anwendungen anhand des Vorhandenseins von Git-Verzeichnissen (Informationen zu Schwachstellen werden durch Analyse von Commit-Hashes ermittelt), SBOM-Dateien (Software Bill Of Material in den Formaten SPDX und CycloneDX), Manifesten usw. identifizieren Paketmanager für Sperrdateien wie Yarn, NPM, GEM, PIP und Cargo. Es unterstützt auch das Scannen des Inhalts von Docker-Container-Images, die aus Paketen aus Debian-Repositorys erstellt wurden.
Informationen zu Schwachstellen stammen aus der OSV-Datenbank (Open Source Vulnerabilities), die Informationen zu Sicherheitsproblemen in Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP) und PyPI enthält ( Python), RubyGems, Android, Debian und Alpine sowie Daten zu Schwachstellen im Linux-Kernel und Informationen aus Schwachstellenberichten in auf GitHub gehosteten Projekten. Die OSV-Datenbank spiegelt den Status der Problembehebung wider, zeigt die Commits mit dem Auftreten und der Behebung der Schwachstelle, den Bereich der von der Schwachstelle betroffenen Versionen, Links zum Projekt-Repository mit dem Code und eine Benachrichtigung über das Problem an. Mit der bereitgestellten API können Sie die Manifestation von Schwachstellen auf der Ebene von Commits und Tags verfolgen und die Anfälligkeit abgeleiteter Produkte und Abhängigkeiten für das Problem analysieren.
Source: opennet.ru