גוגל מפרסמת את OSV-Scanner, סורק פגיעות מודע לתלות

גוגל הציגה את ערכת הכלים OSV-Scanner לבדיקת פגיעויות שטרם תוקנו בקוד ובאפליקציות, תוך התחשבות בכל שרשרת התלות הקשורה לקוד. OSV-Scanner מאפשר לזהות מצבים שבהם אפליקציה הופכת לפגיעה עקב בעיות באחת מהספריות המשמשות כתלות. במקרה זה, ניתן להשתמש בספרייה הפגיעה בעקיפין, כלומר. להיקרא דרך תלות אחרת. קוד הפרויקט כתוב ב-Go ומופץ תחת רישיון Apache 2.0.

OSV-Scanner יכול לסרוק באופן אוטומטי רקורסיבית עץ ספריות, לזהות פרויקטים ויישומים על ידי נוכחות של ספריות git (מידע על פגיעויות נקבע באמצעות ניתוח של commit hashes), קבצי SBOM (Software Bill Of Material בפורמטים SPDX ו-CycloneDX), מניפסטים או מנהלי חבילות לנעול קבצים כגון Yarn, NPM, GEM, PIP ו-Cargo. זה גם תומך בסריקת התוכן של תמונות מיכל Docker שנבנו מחבילות ממאגרי דביאן.

מידע על פגיעויות נלקח ממסד הנתונים OSV (Open Source Vulnerabilities), המכסה מידע על בעיות אבטחה ב-Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian ו-Alpine, כמו גם נתונים על פרצות בליבת לינוקס ומידע מדוחות פגיעות בפרויקטים המתארחים ב-GitHub. מסד הנתונים של ה-OSV משקף את מצב תיקון הבעיה, מציין את ההתחייבויות עם הופעתה ותיקון הפגיעות, מגוון הגרסאות המושפעות מהפגיעות, קישורים למאגר הפרויקט עם הקוד והודעה על הבעיה. ה-API המסופק מאפשר לך לעקוב אחר ביטוי של נקודות תורפה ברמת ה-commits והתגים ולנתח את הרגישות של מוצרים נגזרים ותלות לבעיה.

מקור: OpenNet.ru