Google enkondukis la ilaron OSV-Scanner por kontroli neflakitajn vundeblecojn en kodo kaj aplikaĵoj, konsiderante la tutan ĉenon de dependecoj asociitaj kun la kodo. OSV-Scanner permesas identigi situaciojn kie aplikaĵo fariĝas vundebla pro problemoj en unu el la bibliotekoj uzataj kiel dependeco. En ĉi tiu kazo, la vundebla biblioteko povas esti uzata nerekte, t.e. esti vokita per alia dependeco. La projektkodo estas skribita en Go kaj distribuita sub la licenco Apache 2.0.
OSV-Scanner povas aŭtomate rekursie skani dosierujon, identigante projektojn kaj aplikojn per la ĉeesto de git-dosierujoj (informoj pri vundeblecoj estas determinitaj per analizo de commit hashes), SBOM-dosieroj (Software Bill Of Material en SPDX kaj CycloneDX formatoj), manifestoj aŭ ŝlosaj dosieroj pakaj administrantoj kiel Yarn, NPM, GEM, PIP kaj Cargo. Ĝi ankaŭ subtenas skanadon de la enhavo de Docker-ujo-bildoj konstruitaj el pakaĵoj el Debianaj deponejoj.
Informoj pri vundeblecoj estas prenitaj el la datumbazo OSV (Open Source Vulnerabilities), kiu kovras informojn pri sekurecaj problemoj en la Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. (Python), RubyGems, Android, Debian kaj Alpine, same kiel datumoj pri vundeblecoj en la Linukso-kerno kaj informoj de vundeblaj raportoj en projektoj gastigitaj en GitHub. La OSV-datumbazo reflektas la staton de la problemo-riparo, indikas la kompromisojn kun la aspekto kaj korekto de la vundebleco, la gamon de versioj trafitaj de la vundebleco, ligilojn al la projekt-deponejo kun la kodo, kaj sciigo pri la problemo. La provizita API permesas vin spuri la manifestiĝon de vundeblecoj je la nivelo de kommitaĵoj kaj etikedoj kaj analizi la malsaniĝemecon de derivitaj produktoj kaj dependecoj al la problemo.
fonto: opennet.ru