Google-k OSV-Scanner toolkit-a aurkeztu du kodean eta aplikazioetan adabakirik gabeko ahultasunak egiaztatzeko, kodearekin lotutako mendekotasun-kate osoa kontuan hartuta. OSV-Scanner-ek menpekotasun gisa erabiltzen diren liburutegietako batean dauden arazoengatik aplikazio bat zaurgarri bihurtzen den egoerak identifikatzeko aukera ematen du. Kasu honetan, liburutegi zaurgarria zeharka erabil daiteke, hau da. beste menpekotasun baten bidez deituko da. Proiektuaren kodea Go-n idatzita dago eta Apache 2.0 lizentziapean banatzen da.
OSV-Scanner-ek automatikoki errekurtsiboki eskaneatu dezake direktorioen zuhaitz bat, proiektuak eta aplikazioak identifikatuz git direktorioen presentziaren arabera (ahultasunei buruzko informazioa commit hashen azterketaren bidez zehazten da), SBOM fitxategiak (Software Bill Of Material SPDX eta CycloneDX formatuetan), manifestuak edo blokeatu fitxategien paketeen kudeatzaileak, hala nola Yarn, NPM, GEM, PIP eta Cargo. Debian biltegietako paketeetatik sortutako Docker edukiontzien irudien edukia eskaneatzea ere onartzen du.
Ahultasunei buruzko informazioa OSV (Open Source Vulnerabilities) datu-basetik hartzen da, Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI-n segurtasun-arazoei buruzko informazioa biltzen duena. (Python), RubyGems, Android, Debian eta Alpine, baita Linux kerneleko ahultasunei buruzko datuak eta GitHub-en ostatatutako proiektuetako ahultasun-txostenen informazioa ere. OSV datu-baseak arazoaren konponketaren egoera islatzen du, ahultasunaren itxurarekin eta zuzenketarekin konpromisoak adierazten ditu, ahultasunak eragindako bertsioen sorta, proiektuaren biltegirako estekak kodearekin eta arazoari buruzko jakinarazpen bat adierazten du. Emandako APIak ahultasunen agerpenaren jarraipena egiteko aukera ematen du konpromisoen eta etiketen mailan eta produktu deribatuen eta menpekotasunen suszeptibilitatea aztertzen du arazoarekiko.
Iturria: opennet.ru