Google telah memperkenalkan toolkit OSV-Scanner untuk memeriksa kerentanan yang belum ditambal dalam kode dan aplikasi, dengan mempertimbangkan seluruh rantai ketergantungan yang terkait dengan kode tersebut. OSV-Scanner memungkinkan Anda mengidentifikasi situasi di mana aplikasi menjadi rentan karena masalah di salah satu perpustakaan yang digunakan sebagai ketergantungan. Dalam hal ini, perpustakaan yang rentan dapat digunakan secara tidak langsung, yaitu. dipanggil melalui ketergantungan lain. Kode proyek ditulis dalam Go dan didistribusikan di bawah lisensi Apache 2.0.
OSV-Scanner dapat secara otomatis memindai pohon direktori secara rekursif, mengidentifikasi proyek dan aplikasi dengan keberadaan direktori git (informasi tentang kerentanan ditentukan melalui analisis hash komit), file SBOM (Software Bill Of Material dalam format SPDX dan CycloneDX), manifes atau mengunci file manajer paket seperti Yarn, NPM, GEM, PIP dan Cargo. Ini juga mendukung pemindaian konten image container Docker yang dibangun berdasarkan paket dari repositori Debian.
Informasi mengenai kerentanan diambil dari database OSV (Open Source Vulnerabilities), yang mencakup informasi tentang masalah keamanan pada Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian dan Alpine, serta data kerentanan di kernel Linux dan informasi dari laporan kerentanan dalam proyek yang dihosting di GitHub. Basis data OSV mencerminkan status perbaikan masalah, menunjukkan penerapan dengan tampilan dan koreksi kerentanan, kisaran versi yang terpengaruh oleh kerentanan, tautan ke repositori proyek dengan kode, dan pemberitahuan tentang masalah tersebut. API yang disediakan memungkinkan Anda melacak manifestasi kerentanan pada tingkat komitmen dan tag serta menganalisis kerentanan produk turunan dan ketergantungan terhadap masalah tersebut.
Sumber: opennet.ru