Google جعبه ابزار OSV-Scanner را برای بررسی آسیبپذیریهای اصلاح نشده در کد و برنامهها، با در نظر گرفتن کل زنجیره وابستگیهای مرتبط با کد، معرفی کرده است. OSV-Scanner به شما امکان می دهد موقعیت هایی را شناسایی کنید که یک برنامه به دلیل مشکلات در یکی از کتابخانه های مورد استفاده به عنوان وابستگی آسیب پذیر می شود. در این مورد، کتابخانه آسیب پذیر را می توان به طور غیر مستقیم استفاده کرد، یعنی. از طریق وابستگی دیگری فراخوانی شود. کد پروژه در Go نوشته شده و تحت مجوز Apache 2.0 توزیع شده است.
OSV-Scanner می تواند به طور خودکار درخت دایرکتوری را به صورت بازگشتی اسکن کند، پروژه ها و برنامه ها را با حضور دایرکتوری های git (اطلاعات مربوط به آسیب پذیری ها از طریق تجزیه و تحلیل هش های commit تعیین می شود)، فایل های SBOM (نرم افزار Bill Of Material در فرمت های SPDX و CycloneDX)، مانیفست ها یا قفل مدیریت بسته فایل ها مانند Yarn، NPM، GEM، PIP و Cargo. همچنین از اسکن محتویات تصاویر ظرف Docker ساخته شده از بسته های مخازن دبیان پشتیبانی می کند.
اطلاعات مربوط به آسیبپذیریها از پایگاه داده OSV (آسیبپذیری منبع باز) گرفته شده است که اطلاعات مربوط به مشکلات امنیتی در Crates.io (Rust)، Go، Maven، NPM (JavaScript)، NuGet (C#)، Packagist (PHP)، PyPI را پوشش میدهد. ( Python)، RubyGems، Android، Debian و Alpine، و همچنین دادههای مربوط به آسیبپذیریها در هسته لینوکس و اطلاعات گزارشهای آسیبپذیری در پروژههای میزبانی شده در GitHub. پایگاه داده OSV وضعیت رفع مشکل را منعکس میکند، تعهدات را با ظاهر و اصلاح آسیبپذیری، محدوده نسخههای تحت تأثیر آسیبپذیری، پیوندهایی به مخزن پروژه با کد، و اعلان مشکل را نشان میدهد. API ارائه شده به شما این امکان را می دهد که تظاهرات آسیب پذیری ها را در سطح تعهدات و برچسب ها ردیابی کنید و حساسیت محصولات مشتق و وابستگی ها به مشکل را تجزیه و تحلیل کنید.
منبع: opennet.ru