Google ha introducido el kit de herramientas OSV-Scanner para buscar vulnerabilidades sin parches en el código y las aplicaciones, teniendo en cuenta toda la cadena de dependencias asociadas con el código. OSV-Scanner permite identificar situaciones en las que una aplicación se vuelve vulnerable debido a problemas en una de las bibliotecas utilizadas como dependencia. En este caso, la biblioteca vulnerable se puede utilizar indirectamente, es decir. ser llamado a través de otra dependencia. El código del proyecto está escrito en Go y distribuido bajo la licencia Apache 2.0.
OSV-Scanner puede escanear automáticamente de forma recursiva un árbol de directorios, identificando proyectos y aplicaciones por la presencia de directorios git (la información sobre las vulnerabilidades se determina mediante el análisis de los hashes de confirmación), archivos SBOM (lista de materiales de software en formatos SPDX y CycloneDX), manifiestos o bloquear administradores de paquetes de archivos como Yarn, NPM, GEM, PIP y Cargo. También admite el escaneo del contenido de las imágenes del contenedor Docker creadas a partir de paquetes de los repositorios de Debian.
La información sobre vulnerabilidades se toma de la base de datos OSV (Open Source Vulnerabilities), que cubre información sobre problemas de seguridad en Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. ( Python), RubyGems, Android, Debian y Alpine, así como datos sobre vulnerabilidades en el kernel de Linux e información de informes de vulnerabilidad en proyectos alojados en GitHub. La base de datos OSV refleja el estado de la solución del problema, indica las confirmaciones con la aparición y corrección de la vulnerabilidad, el rango de versiones afectadas por la vulnerabilidad, enlaces al repositorio del proyecto con el código y una notificación sobre el problema. La API proporcionada le permite rastrear la manifestación de vulnerabilidades a nivel de confirmaciones y etiquetas y analizar la susceptibilidad de los productos derivados y las dependencias al problema.
Fuente: opennet.ru