Google presentou o conxunto de ferramentas OSV-Scanner para comprobar se hai vulnerabilidades sen parches no código e nas aplicacións, tendo en conta toda a cadea de dependencias asociadas ao código. OSV-Scanner permítelle identificar situacións nas que unha aplicación se fai vulnerable debido a problemas nunha das bibliotecas utilizadas como dependencia. Neste caso, a biblioteca vulnerable pódese utilizar indirectamente, é dicir. ser chamado a través doutra dependencia. O código do proxecto está escrito en Go e distribúese baixo a licenza Apache 2.0.
OSV-Scanner pode escanear automaticamente de forma recursiva unha árbore de directorios, identificando proxectos e aplicacións pola presenza de directorios git (a información sobre vulnerabilidades determínase mediante a análise de hash de commit), ficheiros SBOM (Software Bill Of Material en formato SPDX e CycloneDX), manifestos ou bloquear xestores de paquetes de ficheiros como Yarn, NPM, GEM, PIP e Cargo. Tamén admite a dixitalización do contido das imaxes do contedor Docker construídas a partir de paquetes dos repositorios de Debian.
A información sobre vulnerabilidades tómase da base de datos OSV (Open Source Vulnerabilities), que abarca información sobre problemas de seguridade en Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. (Python), RubyGems, Android, Debian e Alpine, así como datos sobre vulnerabilidades no núcleo de Linux e información dos informes de vulnerabilidades en proxectos aloxados en GitHub. A base de datos OSV reflicte o estado da corrección do problema, indica os compromisos coa aparición e corrección da vulnerabilidade, o rango de versións afectadas pola vulnerabilidade, ligazóns ao repositorio do proxecto co código e unha notificación sobre o problema. A API proporcionada permítelle rastrexar a manifestación de vulnerabilidades a nivel de commits e etiquetas e analizar a susceptibilidade dos produtos derivados e das dependencias ao problema.
Fonte: opennet.ru