Google は、コードに関連付けられた依存関係のチェーン全体を考慮して、コードとアプリケーション内のパッチが適用されていない脆弱性をチェックする OSV-Scanner ツールキットを導入しました。 OSV-Scanner を使用すると、依存関係として使用されているライブラリの 2.0 つの問題によりアプリケーションが脆弱になる状況を特定できます。 この場合、脆弱なライブラリは間接的に使用される可能性があります。 別の依存関係を通じて呼び出されます。 プロジェクト コードは Go で記述され、Apache XNUMX ライセンスに基づいて配布されます。
OSV-Scanner は、ディレクトリ ツリーを自動的に再帰的にスキャンし、git ディレクトリ (脆弱性に関する情報はコミット ハッシュの分析によって特定されます)、SBOM ファイル (SPDX および CycloneDX 形式のソフトウェア部品表)、マニフェスト、またはYarn、NPM、GEM、PIP、Cargo などのファイル パッケージ マネージャーをロックします。 また、Debian リポジトリのパッケージから構築された Docker コンテナ イメージのコンテンツのスキャンもサポートします。
脆弱性に関する情報は OSV (オープンソース脆弱性) データベースから取得されます。このデータベースには、Crates.io (Rust)、Go、Maven、NPM (JavaScript)、NuGet (C#)、Packagist (PHP)、PyPI のセキュリティ問題に関する情報が含まれています。 (Python)、RubyGems、Android、Debian、Alpine に加え、Linux カーネルの脆弱性に関するデータや、GitHub でホストされているプロジェクトの脆弱性レポートからの情報も含まれます。 OSV データベースは、問題修正のステータスを反映し、脆弱性の出現と修正を含むコミット、脆弱性の影響を受けるバージョンの範囲、コードを含むプロジェクト リポジトリへのリンク、および問題に関する通知を示します。 提供された API を使用すると、脆弱性の発現をコミットとタグのレベルで追跡し、派生製品と問題に対する依存関係の影響を受けやすいかを分析できます。
出所: オープンネット.ru