ಕೋಡ್ಗೆ ಸಂಬಂಧಿಸಿದ ಸಂಪೂರ್ಣ ಅವಲಂಬನೆಗಳ ಸರಣಿಯನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು, ಕೋಡ್ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಅನ್ಪ್ಯಾಚ್ ಮಾಡದ ದೋಷಗಳನ್ನು ಪರಿಶೀಲಿಸಲು Google OSV-ಸ್ಕ್ಯಾನರ್ ಟೂಲ್ಕಿಟ್ ಅನ್ನು ಪರಿಚಯಿಸಿದೆ. ಅವಲಂಬನೆಯಾಗಿ ಬಳಸುವ ಲೈಬ್ರರಿಗಳಲ್ಲಿ ಒಂದರಲ್ಲಿನ ಸಮಸ್ಯೆಗಳಿಂದಾಗಿ ಅಪ್ಲಿಕೇಶನ್ ದುರ್ಬಲಗೊಳ್ಳುವ ಸಂದರ್ಭಗಳನ್ನು ಗುರುತಿಸಲು OSV- ಸ್ಕ್ಯಾನರ್ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ದುರ್ಬಲ ಗ್ರಂಥಾಲಯವನ್ನು ಪರೋಕ್ಷವಾಗಿ ಬಳಸಬಹುದು, ಅಂದರೆ. ಮತ್ತೊಂದು ಅವಲಂಬನೆಯ ಮೂಲಕ ಕರೆಯಬಹುದು. ಯೋಜನೆಯ ಕೋಡ್ ಅನ್ನು Go ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು Apache 2.0 ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗಿದೆ.
OSV-ಸ್ಕ್ಯಾನರ್ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಡೈರೆಕ್ಟರಿ ಟ್ರೀ ಅನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಬಹುದು, ಜಿಟ್ ಡೈರೆಕ್ಟರಿಗಳ ಉಪಸ್ಥಿತಿಯಿಂದ ಯೋಜನೆಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಗುರುತಿಸಬಹುದು (ದೌರ್ಬಲ್ಯಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಕಮಿಟ್ ಹ್ಯಾಶ್ಗಳ ವಿಶ್ಲೇಷಣೆಯ ಮೂಲಕ ನಿರ್ಧರಿಸಲಾಗುತ್ತದೆ), SBOM ಫೈಲ್ಗಳು (SPDX ಮತ್ತು CycloneDX ಫಾರ್ಮ್ಯಾಟ್ಗಳಲ್ಲಿನ ಸಾಫ್ಟ್ವೇರ್ ಬಿಲ್ ಆಫ್ ಮೆಟೀರಿಯಲ್), ಮ್ಯಾನಿಫೆಸ್ಟ್ ಅಥವಾ ಯಾರ್ನ್, ಎನ್ಪಿಎಂ, ಜಿಇಎಂ, ಪಿಐಪಿ ಮತ್ತು ಕಾರ್ಗೋದಂತಹ ಫೈಲ್ಗಳ ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ಗಳನ್ನು ಲಾಕ್ ಮಾಡಿ. ಇದು ಡೆಬಿಯನ್ ರೆಪೊಸಿಟರಿಗಳಿಂದ ಪ್ಯಾಕೇಜುಗಳಿಂದ ನಿರ್ಮಿಸಲಾದ ಡಾಕರ್ ಕಂಟೇನರ್ ಚಿತ್ರಗಳ ವಿಷಯಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡುವುದನ್ನು ಸಹ ಬೆಂಬಲಿಸುತ್ತದೆ.
ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು OSV (ಓಪನ್ ಸೋರ್ಸ್ ವಲ್ನರಬಿಲಿಟೀಸ್) ಡೇಟಾಬೇಸ್ನಿಂದ ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ, ಇದು Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ನಲ್ಲಿನ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ. (Python), RubyGems, Android, Debian ಮತ್ತು Alpine, ಹಾಗೆಯೇ Linux ಕರ್ನಲ್ನಲ್ಲಿನ ದುರ್ಬಲತೆಗಳ ಕುರಿತಾದ ಡೇಟಾ ಮತ್ತು GitHub ನಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಲಾದ ಯೋಜನೆಗಳಲ್ಲಿನ ದುರ್ಬಲತೆಯ ವರದಿಗಳ ಮಾಹಿತಿ. OSV ಡೇಟಾಬೇಸ್ ಸಮಸ್ಯೆಯ ಪರಿಹಾರದ ಸ್ಥಿತಿಯನ್ನು ಪ್ರತಿಬಿಂಬಿಸುತ್ತದೆ, ದುರ್ಬಲತೆಯ ನೋಟ ಮತ್ತು ತಿದ್ದುಪಡಿಯೊಂದಿಗೆ ಬದ್ಧತೆಗಳನ್ನು ಸೂಚಿಸುತ್ತದೆ, ದುರ್ಬಲತೆಯಿಂದ ಪ್ರಭಾವಿತವಾದ ಆವೃತ್ತಿಗಳ ಶ್ರೇಣಿ, ಕೋಡ್ನೊಂದಿಗೆ ಪ್ರಾಜೆಕ್ಟ್ ರೆಪೊಸಿಟರಿಗೆ ಲಿಂಕ್ಗಳು ಮತ್ತು ಸಮಸ್ಯೆಯ ಕುರಿತು ಅಧಿಸೂಚನೆ. ಒದಗಿಸಿದ API ನಿಮಗೆ ಕಮಿಟ್ಗಳು ಮತ್ತು ಟ್ಯಾಗ್ಗಳ ಮಟ್ಟದಲ್ಲಿ ದುರ್ಬಲತೆಗಳ ಅಭಿವ್ಯಕ್ತಿಯನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಮತ್ತು ಉತ್ಪನ್ನಗಳ ಸಂವೇದನಾಶೀಲತೆ ಮತ್ತು ಸಮಸ್ಯೆಗೆ ಅವಲಂಬನೆಯನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಮೂಲ: opennet.ru