Google hefur kynnt OSV-Scanner verkfærakistuna til að athuga hvort óuppsettar veikleikar séu í kóða og forritum, að teknu tilliti til allrar keðju ósjálfstæðis sem tengjast kóðanum. OSV-skanni gerir þér kleift að bera kennsl á aðstæður þar sem forrit verður viðkvæmt vegna vandamála í einu af bókasöfnunum sem eru notuð sem ósjálfstæði. Í þessu tilviki er hægt að nota viðkvæma bókasafnið óbeint, þ.e. verið kallaður í gegnum annað ávanabindandi. Verkefniskóðinn er skrifaður í Go og dreift undir Apache 2.0 leyfinu.
OSV-Scanner getur sjálfkrafa skannað skráartré með endurteknum hætti, auðkennt verkefni og forrit með tilvist git möppum (upplýsingar um veikleika eru ákvarðaðar með greiningu á commit hashes), SBOM skrár (Software Bill Of Material í SPDX og CycloneDX sniðum), manifests eða læsa skráarpakkastjórnendur eins og Yarn, NPM, GEM, PIP og Cargo. Það styður einnig skönnun á innihaldi Docker gámamynda byggðar úr pökkum frá Debian geymslum.
Upplýsingar um veikleika eru teknar úr OSV (Open Source Vulnerabilities) gagnagrunninum, sem nær yfir upplýsingar um öryggisvandamál í Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian og Alpine, auk gagna um veikleika í Linux kjarnanum og upplýsingar úr varnarleysisskýrslum í verkefnum sem hýst eru á GitHub. OSV gagnagrunnurinn endurspeglar stöðu vandamálaleiðréttingar, gefur til kynna skuldbindingar með útliti og leiðréttingu á varnarleysinu, úrval útgáfur sem varnarleysið hefur áhrif á, tengla á verkefnageymsluna með kóðanum og tilkynningu um vandamálið. Meðfylgjandi API gerir þér kleift að fylgjast með birtingarmynd veikleika á stigi skuldbindinga og merkja og greina næmni afleiddra vara og ósjálfstæði vandans.
Heimild: opennet.ru