Google ha introdotto il toolkit OSV-Scanner per verificare la presenza di vulnerabilità senza patch nel codice e nelle applicazioni, tenendo conto dell'intera catena di dipendenze associate al codice. OSV-Scanner consente di identificare le situazioni in cui un'applicazione diventa vulnerabile a causa di problemi in una delle librerie utilizzate come dipendenza. In questo caso, la libreria vulnerabile può essere utilizzata indirettamente, ovvero essere chiamato tramite un'altra dipendenza. Il codice del progetto è scritto in Go e distribuito sotto la licenza Apache 2.0.
OSV-Scanner può scansionare automaticamente e ricorsivamente un albero di directory, identificando progetti e applicazioni dalla presenza di directory git (le informazioni sulle vulnerabilità vengono determinate attraverso l'analisi degli hash di commit), file SBOM (Software Bill Of Material nei formati SPDX e CycloneDX), manifest o lock file gestori di pacchetti come Yarn, NPM, GEM, PIP e Cargo. Supporta anche la scansione del contenuto delle immagini del contenitore Docker create da pacchetti dai repository Debian.
Le informazioni sulle vulnerabilità vengono prese dal database OSV (Open Source Vulnerabilities), che copre informazioni sui problemi di sicurezza in Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian e Alpine, nonché dati sulle vulnerabilità nel kernel Linux e informazioni provenienti da rapporti sulle vulnerabilità nei progetti ospitati su GitHub. Il database OSV riflette lo stato della risoluzione del problema, indica i commit con la comparsa e la correzione della vulnerabilità, la gamma di versioni interessate dalla vulnerabilità, collegamenti al repository del progetto con il codice e una notifica sul problema. L'API fornita consente di monitorare la manifestazione delle vulnerabilità a livello di commit e tag e di analizzare la suscettibilità dei prodotti derivati e delle dipendenze al problema.
Fonte: opennet.ru