Google a introduit la boîte à outils OSV-Scanner pour vérifier les vulnérabilités non corrigées dans le code et les applications, en tenant compte de l'ensemble de la chaîne de dépendances associée au code. OSV-Scanner vous permet d'identifier les situations dans lesquelles une application devient vulnérable en raison de problèmes dans l'une des bibliothèques utilisées comme dépendance. Dans ce cas, la bibliothèque vulnérable peut être utilisée indirectement, c'est-à-dire être appelé via une autre dépendance. Le code du projet est écrit en Go et distribué sous la licence Apache 2.0.
OSV-Scanner peut analyser automatiquement et récursivement une arborescence de répertoires, identifiant les projets et les applications par la présence de répertoires git (les informations sur les vulnérabilités sont déterminées par l'analyse des hachages de validation), de fichiers SBOM (Software Bill Of Material aux formats SPDX et CycloneDX), de manifestes ou verrouiller les gestionnaires de packages de fichiers tels que Yarn, NPM, GEM, PIP et Cargo. Il prend également en charge l'analyse du contenu des images de conteneurs Docker créées à partir de packages provenant de référentiels Debian.
Les informations sur les vulnérabilités proviennent de la base de données OSV (Open Source Vulnerabilities), qui couvre les informations sur les problèmes de sécurité dans Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. (Python), RubyGems, Android, Debian et Alpine, ainsi que des données sur les vulnérabilités du noyau Linux et des informations provenant des rapports de vulnérabilité dans les projets hébergés sur GitHub. La base de données OSV reflète l'état de la correction du problème, indique les commits avec l'apparition et la correction de la vulnérabilité, la gamme de versions affectées par la vulnérabilité, des liens vers le référentiel du projet avec le code et une notification concernant le problème. L'API fournie vous permet de suivre la manifestation des vulnérabilités au niveau des commits et des balises et d'analyser la susceptibilité des produits dérivés et des dépendances au problème.
Source: opennet.ru