Google on võtnud kasutusele OSV-Scanneri tööriistakomplekti, et kontrollida koodi ja rakenduste parandamata turvaauke, võttes arvesse kogu koodiga seotud sõltuvuste ahelat. OSV-Scanner võimaldab tuvastada olukordi, kus rakendus muutub haavatavaks mõne sõltuvusena kasutatava teegi probleemide tõttu. Sel juhul saab haavatavat teeki kasutada kaudselt, s.t. kutsutakse läbi mõne muu sõltuvuse. Projekti kood on kirjutatud Go-s ja seda levitatakse Apache 2.0 litsentsi all.
OSV-Scanner suudab automaatselt rekursiivselt skannida kataloogipuud, tuvastades projektid ja rakendused git-kataloogide (teave haavatavuste kohta tehakse kindlaks commit hashide analüüsiga), SBOM-failide (SPDX- ja CycloneDX-vormingus tarkvaramaterjalide), manifestide või lukustusfailide paketihaldurid, nagu lõng, NPM, GEM, PIP ja Cargo. Samuti toetab see Debiani hoidlate pakettidest koostatud Dockeri konteinerpiltide sisu skannimist.
Teave haavatavuste kohta on võetud OSV (Open Source Vulnerabilities) andmebaasist, mis hõlmab teavet Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI turvaprobleemide kohta. ( Python), RubyGems, Android, Debian ja Alpine, samuti andmed Linuxi tuuma haavatavuste kohta ja teave GitHubis hostitud projektide haavatavuse aruannetest. OSV-andmebaas kajastab probleemiparanduse olekut, näitab kinnitusi koos haavatavuse ilmumise ja parandamisega, haavatavusest mõjutatud versioonide vahemikku, linke koodiga projektihoidlale ja teatist probleemi kohta. Pakutav API võimaldab teil jälgida haavatavuste avaldumist kohustuste ja siltide tasemel ning analüüsida tuletistoodete vastuvõtlikkust ja sõltuvusi probleemist.
Allikas: opennet.ru