Google hefur kynnt OSV-Scanner verkfærakistuna til að athuga hvort óuppsettar veikleikar séu í kóða og forritum, að teknu tilliti til allrar keðju ósjálfstæðis sem tengjast kóðanum. OSV-skanni gerir þér kleift að bera kennsl á aðstæður þar sem forrit verður viðkvæmt vegna vandamála í einu af bókasöfnunum sem eru notuð sem ósjálfstæði. Í þessu tilviki er hægt að nota viðkvæma bókasafnið óbeint, þ.e. verið kallaður í gegnum annað ávanabindandi. Verkefniskóðinn er skrifaður í Go og dreift undir Apache 2.0 leyfinu.
OSV-Scanner getur sjálfkrafa endurkvæmt skannað möpputré, greint verkefni og forrit út frá tilvist Git möppna (upplýsingar um varnarleysi eru ákvarðaðar með því að greina commit hash), SBOM skrár (hugbúnaðarlista í SPDX og CycloneDX sniðum) og birt eða læst skrár frá pakkastjórum eins og Yarn, NPM, GEM, PIP og Cargo. Það styður einnig skönnun á farmi Docker gámamynda sem eru smíðaðar úr pökkum í geymslum. Debian.
Upplýsingar um varnarleysi eru teknar úr OSV gagnagrunninum (Open Source Vulnerabilities), sem inniheldur upplýsingar um öryggismál í eftirfarandi gagnasöfnum: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian og Alpine, sem og gögn um varnarleysi kjarnans Linux og upplýsingar úr skýrslum um veikleika í verkefnum sem hýst eru á GitHub. OSV gagnagrunnurinn sýnir stöðu lagfæringar á vandamálinu, þær breytingar sem kynntu til sögunnar og lagfærðu veikleikann, fjölda útgáfa sem urðu fyrir áhrifum, tengla á kóðageymslu verkefnisins og tilkynningu um vandamálið. Með forritaskilum er hægt að greina veikleika á breytingar- og merkjastigi og greina áhrif veikleikans á afleiður og ósjálfstæði.
Heimild: opennet.ru
