Google кодпен байланысты барлық тәуелділік тізбегін ескере отырып, кодтар мен қолданбалардағы түзетілмеген осалдықтарды тексеру үшін OSV-Scanner құралдар жинағын енгізді. OSV-Scanner бағдарламасы тәуелділік ретінде пайдаланылатын кітапханалардың біріндегі ақауларға байланысты осал болатын жағдайларды анықтауға мүмкіндік береді. Бұл жағдайда осал кітапхана жанама түрде пайдаланылуы мүмкін, яғни. басқа тәуелділік арқылы шақырылады. Жоба коды Go бағдарламасында жазылған және Apache 2.0 лицензиясы бойынша таратылады.
OSV-Scanner автоматты түрде каталогтар ағашын рекурсивті сканерлей алады, жобалар мен қолданбаларды git каталогтарының болуы (осалдықтар туралы ақпарат орындау хэштерін талдау арқылы анықталады), SBOM файлдары (SPDX және CycloneDX пішіміндегі бағдарламалық қамтамасыз ету материалы), манифесттер немесе Yarn, NPM, GEM, PIP және Cargo сияқты файлдар пакетінің менеджерлерін құлыптау. Ол сондай-ақ Debian репозиторийлерінің бумаларынан жасалған Docker контейнер кескіндерінің мазмұнын сканерлеуді қолдайды.
Осалдықтар туралы ақпарат Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI жүйелеріндегі қауіпсіздік мәселелері туралы ақпаратты қамтитын OSV (Open Source Vulnerabilities) дерекқорынан алынған. ( Python), RubyGems, Android, Debian және Alpine, сондай-ақ Linux ядросындағы осалдықтар туралы деректер және GitHub-да орналастырылған жобалардағы осалдық есептерінен алынған ақпарат. OSV дерекқоры ақауды түзету күйін көрсетеді, осалдықтың пайда болуымен және түзетілуімен міндеттемелерді, осалдық әсер еткен нұсқалар ауқымын, кодпен жоба репозиторийіне сілтемелерді және мәселе туралы хабарламаны көрсетеді. Ұсынылған API осалдықтардың орындалу және тегтер деңгейінде көрінісін қадағалауға және туынды өнімдер мен мәселеге тәуелділіктердің бейімділігін талдауға мүмкіндік береді.
Ақпарат көзі: opennet.ru