Google hat de OSV-Scanner toolkit yntrodusearre om te kontrolearjen op unpatched kwetsberens yn koade en applikaasjes, rekken hâldend mei de hiele keatling fan ôfhinklikens ferbûn mei de koade. OSV-Scanner lit jo situaasjes identifisearje wêr't in applikaasje kwetsber wurdt troch problemen yn ien fan 'e bibleteken dy't brûkt wurde as ôfhinklikens. Yn dit gefal kin de kwetsbere biblioteek yndirekt brûkt wurde, d.w.s. wurde neamd troch in oare ôfhinklikens. De projektkoade is skreaun yn Go en ferspraat ûnder de Apache 2.0-lisinsje.
OSV-Scanner kin in mapbeam automatysk rekursyf scannen, projekten en applikaasjes identifisearje troch de oanwêzigens fan git-mappen (ynformaasje oer kwetsberens wurdt bepaald troch analyze fan commit-hashes), SBOM-bestannen (Software Bill Of Material yn SPDX- en CycloneDX-formaten), manifesten of beskoattelje bestannen pakketbehearders lykas Yarn, NPM, GEM, PIP en Cargo. It stipet ek it scannen fan de ynhâld fan Docker-containerôfbyldings boud fan pakketten fan Debian-repositories.
Ynformaasje oer kwetsberens is nommen út de OSV (Open Source Vulnerabilities) databank, dy't ynformaasje beslacht oer feiligensproblemen yn 'e Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian en Alpine, lykas gegevens oer kwetsberens yn 'e Linux-kernel en ynformaasje fan kwetsberensrapporten yn projekten hosted op GitHub. De OSV-database wjerspegelet de status fan it probleem fix, jout de commits mei it uterlik en korreksje fan de kwetsberens, it berik fan ferzjes beynfloede troch de kwetsberens, keppelings nei it projekt repository mei de koade, en in notifikaasje oer it probleem. De levere API lit jo de manifestaasje fan kwetsberens folgje op it nivo fan commits en tags en analysearje de gefoelichheid fan derivative produkten en ôfhinklikens foar it probleem.
Boarne: opennet.ru