Google on ottanut käyttöön OSV-Scanner-työkalupakin, joka tarkistaa koodin ja sovellusten korjaamattomien haavoittuvuuksien varalta, ottaen huomioon koko koodiin liittyvän riippuvuusketjun. OSV-Scannerin avulla voit tunnistaa tilanteet, joissa sovelluksesta tulee haavoittuva riippuvuutena käytetyn kirjaston ongelmien vuoksi. Tässä tapauksessa haavoittuvaa kirjastoa voidaan käyttää epäsuorasti, ts. kutsua toisen riippuvuuden kautta. Projektikoodi on kirjoitettu Go-kielellä ja jaettu Apache 2.0 -lisenssillä.
OSV-Scanner voi automaattisesti skannata rekursiivisesti hakemistopuuta, tunnistaen projektit ja sovellukset git-hakemistojen (tieto haavoittuvuuksista määritetään analysoimalla commit hash), SBOM-tiedostoja (Software Bill Of Material SPDX- ja CycloneDX-muodoissa), manifesteja tai Lukitustiedostojen pakettien hallintaohjelmat, kuten Yarn, NPM, GEM, PIP ja Cargo. Se tukee myös Debian-varastojen paketeista rakennettujen Docker-säiliökuvien sisällön tarkistamista.
Tiedot haavoittuvuuksista on otettu OSV (Open Source Vulnerabilities) -tietokannasta, joka kattaa tiedot tietoturvaongelmista Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. (Python), RubyGems, Android, Debian ja Alpine, sekä tiedot Linux-ytimen haavoittuvuuksista ja tiedot GitHubissa isännöityjen projektien haavoittuvuusraporteista. OSV-tietokanta heijastaa ongelman korjauksen tilaa, ilmoittaa sitoumukset haavoittuvuuden ilmaantumisen ja korjauksen yhteydessä, haavoittuvuuden vaikuttavien versioiden valikoiman, linkit koodin sisältävään projektivarastoon ja ilmoituksen ongelmasta. Mukana toimitetun API:n avulla voit seurata haavoittuvuuksien ilmenemistä sitoumusten ja tagien tasolla ja analysoida johdannaistuotteiden herkkyyttä ja riippuvuuksia ongelmasta.
Lähde: opennet.ru