Google кодпен байланысты барлық тәуелділік тізбегін ескере отырып, кодтар мен қолданбалардағы түзетілмеген осалдықтарды тексеру үшін OSV-Scanner құралдар жинағын енгізді. OSV-Scanner бағдарламасы тәуелділік ретінде пайдаланылатын кітапханалардың біріндегі ақауларға байланысты осал болатын жағдайларды анықтауға мүмкіндік береді. Бұл жағдайда осал кітапхана жанама түрде пайдаланылуы мүмкін, яғни. басқа тәуелділік арқылы шақырылады. Жоба коды Go бағдарламасында жазылған және Apache 2.0 лицензиясы бойынша таратылады.
OSV-Scanner каталог ағашын автоматты түрде рекурсивті түрде сканерлей алады, Git каталогтарының болуына негізделген жобалар мен қолданбаларды анықтай алады (осалдық туралы ақпарат коммит хэштерін талдау арқылы анықталады), SBOM файлдарын (SPDX және CycloneDX форматтарындағы бағдарламалық жасақтама материалдарының тізімі) және Yarn, NPM, GEM, PIP және Cargo сияқты пакет менеджерлерінен файлдарды көрсетеді немесе құлыптайды. Сондай-ақ, ол репозиторийлердегі пакеттерден жасалған Docker контейнер кескіндерінің пайдалы жүктемесін сканерлеуді қолдайды. Debian.
Осалдық туралы ақпарат OSV (Ашық бастапқы кодты осалдық) дерекқорынан алынған, ол келесі репозиторийлердегі қауіпсіздік мәселелері туралы ақпаратты қамтиды: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian және Alpine, сондай-ақ ядроның осалдық деректері Linux және GitHub-та орналастырылған жобалардағы осалдық туралы есептерден алынған ақпарат. OSV дерекқоры мәселенің түзету күйін, осалдықты енгізген және түзеткен коммиттерді, әсер етілген нұсқалардың ауқымын, жобаның код репозиторийіне сілтемелерді және мәселе туралы хабарландыруды көрсетеді. Берілген API коммит және тег деңгейінде осалдықты анықтауға және осалдықтың туынды өнімдер мен тәуелділіктерге әсерін талдауға мүмкіндік береді.
Ақпарат көзі: opennet.ru
