Google-ը ներկայացրել է OSV-Scanner գործիքակազմը՝ կոդի և հավելվածների չփակված խոցելիությունները ստուգելու համար՝ հաշվի առնելով կոդի հետ կապված կախվածությունների ողջ շղթան։ OSV-Scanner-ը թույլ է տալիս բացահայտել իրավիճակները, երբ հավելվածը դառնում է խոցելի՝ որպես կախվածություն օգտագործվող գրադարաններից մեկում առկա խնդիրների պատճառով: Այս դեպքում խոցելի գրադարանը կարող է օգտագործվել անուղղակիորեն, այսինքն. կոչվել մեկ այլ կախվածության միջոցով: Ծրագրի կոդը գրված է Go-ում և տարածվում է Apache 2.0 լիցենզիայի ներքո:
OSV-Scanner-ը կարող է ինքնաբերաբար ռեկուրսիվ սկանավորել գրացուցակի ծառը՝ նույնականացնելով նախագծերն ու հավելվածները git դիրեկտորիաների առկայությամբ (խոցելիության մասին տեղեկատվությունը որոշվում է commit հեշերի վերլուծության միջոցով), SBOM ֆայլեր (Software Bill Of Material SPDX և CycloneDX ձևաչափերով), մանիֆեստներ կամ կողպեք ֆայլերի փաթեթների կառավարիչներ, ինչպիսիք են Yarn, NPM, GEM, PIP և Cargo: Այն նաև աջակցում է Debian պահեստների փաթեթներից կառուցված Docker կոնտեյների պատկերների բովանդակության սկանավորմանը:
Խոցելիության մասին տեղեկատվությունը վերցված է OSV (Open Source Խոցելիություն) տվյալների բազայից, որն ընդգրկում է Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI անվտանգության խնդիրների մասին տեղեկությունները: ( Python), RubyGems, Android, Debian և Alpine, ինչպես նաև տվյալներ Linux միջուկի խոցելիության մասին և տեղեկատվություն GitHub-ում տեղակայված նախագծերի խոցելիության մասին հաշվետվություններից: OSV տվյալների բազան արտացոլում է խնդրի շտկման կարգավիճակը, ցույց է տալիս խոցելիության արտաքին տեսքի և ուղղման հետ կապված պարտավորությունները, խոցելիությունից տուժած տարբերակների շրջանակը, կոդով հղումներ դեպի նախագծի պահեստ և խնդրի մասին ծանուցում: Տրամադրված API-ն թույլ է տալիս հետևել խոցելիության դրսևորմանը պարտավորությունների և պիտակների մակարդակում և վերլուծել ածանցյալ արտադրանքների և կախվածության զգայունությունը խնդրի նկատմամբ:
Source: opennet.ru