Google hat den OSV-Scanner eingeführt, ein Tool zum Überprüfen von Code und Anwendungen auf ungepatchte Schwachstellen, das die gesamte mit dem Code verbundene Abhängigkeitskette berücksichtigt. Mit OSV-Scanner können Sie Situationen erkennen, in denen eine Anwendung aufgrund von Problemen in einer der als Abhängigkeit verwendeten Bibliotheken anfällig wird. In diesem Fall kann die anfällige Bibliothek indirekt verwendet werden, d. h. über eine andere Abhängigkeit aufgerufen werden. Der Projektcode ist in Go geschrieben und wird unter der Apache 2.0-Lizenz vertrieben.
OSV-Scanner kann Verzeichnisstrukturen automatisch rekursiv durchsuchen und Projekte und Anwendungen anhand des Vorhandenseins von Git-Verzeichnissen (Informationen zu Sicherheitslücken werden durch die Analyse von Commit-Hashes ermittelt), SBOM-Dateien (Software Bill of Material im SPDX- und CycloneDX-Format) sowie Manifest- oder Sperrdateien von Paketmanagern wie Yarn, NPM, GEM, PIP und Cargo identifizieren. Zusätzlich unterstützt es das Scannen der Nutzdaten von Docker-Container-Images, die aus Paketen in Repositories erstellt wurden. Debian.
Die Informationen zu den Sicherheitslücken stammen aus der OSV-Datenbank (Open Source Vulnerabilities), die Informationen zu Sicherheitsproblemen in den folgenden Repositories enthält: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian und Alpine sowie Daten zu Kernel-Schwachstellen Linux Die OSV-Datenbank enthält Informationen aus Schwachstellenberichten von Projekten, die auf GitHub gehostet werden. Sie spiegelt den Behebungsstatus des Problems, die Commits, die die Schwachstelle eingeführt und behoben haben, den betroffenen Versionsbereich, Links zum Code-Repository des Projekts sowie die Problembenachrichtigung wider. Die bereitgestellte API ermöglicht die Erkennung von Schwachstellen auf Commit- und Tag-Ebene sowie die Analyse der Auswirkungen der Schwachstelle auf abgeleitete Produkte und Abhängigkeiten.
Source: opennet.ru
