Η Google παρουσίασε το κιτ εργαλείων OSV-Scanner για τον έλεγχο ευπαθειών που δεν έχουν διορθωθεί σε κώδικα και εφαρμογές, λειτουργώντας με ολόκληρη την αλυσίδα εξαρτήσεων που σχετίζονται με τον κώδικα. Το OSV-Scanner σάς επιτρέπει να εντοπίζετε καταστάσεις όπου μια εφαρμογή καθίσταται ευάλωτη λόγω προβλημάτων σε μία από τις βιβλιοθήκες που χρησιμοποιούνται ως εξάρτηση. Σε αυτήν την περίπτωση, η ευάλωτη βιβλιοθήκη μπορεί να χρησιμοποιηθεί έμμεσα, δηλαδή να κληθεί μέσω μιας άλλης εξάρτησης. Ο κώδικας του έργου είναι γραμμένος σε Go και διανέμεται με την άδεια Apache 2.0.
Το OSV-Scanner μπορεί να σαρώσει αυτόματα αναδρομικά ένα δέντρο καταλόγων, εντοπίζοντας έργα και εφαρμογές με βάση την παρουσία καταλόγων Git (οι πληροφορίες ευπάθειας προσδιορίζονται αναλύοντας τα hashes commit), αρχεία SBOM (Software Bill of Material σε μορφές SPDX και CycloneDX) και αρχεία manifests ή lock από διαχειριστές πακέτων όπως Yarn, NPM, GEM, PIP και Cargo. Υποστηρίζει επίσης τη σάρωση του ωφέλιμου φορτίου εικόνων κοντέινερ Docker που έχουν δημιουργηθεί από πακέτα σε αποθετήρια. Debian.
Οι πληροφορίες για τα τρωτά σημεία προέρχονται από τη βάση δεδομένων OSV (Απευθείας Λογισμικό Ευπάθειας), η οποία καλύπτει πληροφορίες σχετικά με ζητήματα ασφαλείας στα ακόλουθα αποθετήρια: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian και Alpine, καθώς και δεδομένα ευπάθειας πυρήνα Linux και πληροφορίες από αναφορές ευπάθειας σε έργα που φιλοξενούνται στο GitHub. Η βάση δεδομένων OSV αντικατοπτρίζει την κατάσταση διόρθωσης του προβλήματος, τις υποβολές που εισήγαγαν και διόρθωσαν την ευπάθεια, το εύρος των επηρεαζόμενων εκδόσεων, συνδέσμους προς το αποθετήριο κώδικα του έργου και την ειδοποίηση προβλήματος. Το παρεχόμενο API επιτρέπει την ανίχνευση ευπάθειας σε επίπεδο υποβολής και ετικέτας και την ανάλυση του αντίκτυπου της ευπάθειας σε παράγωγα προϊόντα και εξαρτήσεις.
Πηγή: opennet.ru
