A Google bevezette az OSV-Scanner eszközkészletet, amely a kódhoz és az alkalmazásokhoz kapcsolódó függőségek teljes láncolatának figyelembevételével ellenőrzi a javítatlan biztonsági réseket a kódban és az alkalmazásokban. Az OSV-Scanner lehetővé teszi az olyan helyzetek azonosítását, amikor egy alkalmazás sebezhetővé válik a függőségként használt könyvtárak egyikének problémái miatt. Ebben az esetben a sérülékeny könyvtár közvetetten, pl. egy másik függőségen keresztül hívják meg. A projekt kódja Go nyelven íródott, és az Apache 2.0 licenc alatt kerül terjesztésre.
Az OSV-Scanner képes automatikusan rekurzívan átvizsgálni egy címtárfát, azonosítani a projekteket és alkalmazásokat git-könyvtárak (a sebezhetőségekre vonatkozó információkat a commit hash-ek elemzése alapján határozzák meg), SBOM-fájlok (SPDX és CycloneDX formátumú szoftveranyagjegyzék), manifesztek, ill. lock fájlok csomagkezelők, például a Yarn, NPM, GEM, PIP és Cargo. Támogatja a Debian-tárolókból származó csomagokból épített Docker-tárolóképek tartalmának vizsgálatát is.
A sérülékenységekkel kapcsolatos információk az OSV (Open Source Vulnerabilities) adatbázisból származnak, amely információkat tartalmaz a Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI biztonsági problémáiról. (Python), RubyGems, Android, Debian és Alpine, valamint a Linux kernel sebezhetőségeire vonatkozó adatok és a GitHubon üzemeltetett projektek sebezhetőségi jelentéseiből származó információk. Az OSV adatbázis tükrözi a hibajavítás állapotát, jelzi a véglegesítéseket a biztonsági rés megjelenésével és kijavításával, a sérülékenység által érintett verziók körét, hivatkozásokat a projekt tárházára a kóddal, valamint egy értesítést a problémáról. A biztosított API lehetővé teszi a sebezhetőségek megnyilvánulásának nyomon követését a véglegesítések és a címkék szintjén, valamint a származékos termékek és a problémákkal szembeni függőségek érzékenységének elemzését.
Forrás: opennet.ru