Google wis ngenalake toolkit OSV-Scanner kanggo mriksa kerentanan kode lan aplikasi sing durung ditambal, kanthi nggatekake kabeh rantai dependensi sing ana gandhengane karo kode kasebut. OSV-Scanner ngijini sampeyan kanggo ngenali kahanan ing ngendi aplikasi dadi ngrugekke amarga masalah ing salah siji perpustakaan digunakake minangka katergantungan. Ing kasus iki, perpustakaan sing rawan bisa digunakake kanthi ora langsung, yaiku. diarani liwat dependensi liyane. Kode proyek ditulis ing Go lan disebarake miturut lisensi Apache 2.0.
OSV-Scanner bisa kanthi otomatis mindai wit direktori kanthi rekursif, ngenali proyek lan aplikasi kanthi ananΓ© direktori git (informasi babagan kerentanan ditemtokake liwat analisis commit hashes), file SBOM (Software Bill Of Material ing format SPDX lan CycloneDX), manifests utawa manajer paket file kunci kayata Benang, NPM, GEM, PIP lan Kargo. Uga ndhukung mindhai isi gambar wadhah Docker sing dibangun saka paket saka repositori Debian.
Informasi babagan kerentanan dijupuk saka database OSV (Open Source Vulnerabilities), sing nyakup informasi babagan masalah keamanan ing Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian lan Alpine, uga data babagan kerentanan ing kernel Linux lan informasi saka laporan kerentanan ing proyek sing di-host ing GitHub. Basis data OSV nggambarake status masalah ndandani, nuduhake komitmen karo tampilan lan koreksi kerentanan, sawetara versi sing kena pengaruh kerentanan, pranala menyang gudang proyek kanthi kode, lan kabar babagan masalah kasebut. API sing diwenehake ngidini sampeyan nglacak manifestasi kerentanan ing tingkat komitmen lan tag lan nganalisa kerentanan produk turunan lan dependensi kanggo masalah kasebut.
Source: opennet.ru