Google amûrê OSV-Scanner destnîşan kir da ku di kod û serîlêdanan de qelsiyên nepatchkirî kontrol bike, zincîra tevahî girêdayîbûna bi kodê ve girêdayî ye. OSV-Scanner dihêle hûn rewşên ku serîlêdanek ji ber pirsgirêkên di yek ji pirtûkxaneyên ku wekî pêwendiyê têne bikar anîn xeternak nas bikin. Di vê rewşê de, pirtûkxaneya xizan dikare nerasterast were bikar anîn, ango. bi navgîniyek din ve were gazî kirin. Koda projeyê di Go de hatî nivîsandin û di bin lîsansa Apache 2.0 de tê belav kirin.
OSV-Scanner dikare bi awayekî dubarekirî bixweber dareke pelrêçan bişopîne, projeyan û sepanan li gorî hebûna pelrêçên Git (agahiyên lawaziyê bi analîzkirina hashên commit), pelên SBOM (Nermalava Bill of Material di formatên SPDX û CycloneDX de) û manîfestoyan an kilîtkirina pelan ji rêveberên pakêtan ên wekî Yarn, NPM, GEM, PIP, û Cargo nas bike. Ew her weha piştgirî dide şopandina barkirina wêneyên konteynerên Docker ên ku ji pakêtên di depoyan de hatine çêkirin. Debian.
Agahiyên lawaziyê ji databasa OSV (Venerabilities Source Vulnerabilities) hatine girtin, ku agahiyên li ser pirsgirêkên ewlehiyê di depoyên jêrîn de vedihewîne: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian û Alpine, û her weha daneyên qelsiya kernel Linux û agahî ji raporên lawaziyê di projeyên ku li ser GitHub-ê têne mêvandar kirin. Databasa OSV rewşa çareserkirina pirsgirêkê, commit-ên ku lawaziyê destnîşan kirine û rast kirine, rêza guhertoyên bandorkirî, girêdanên bi depoya kodê ya projeyê re, û agahdariya pirsgirêkê nîşan dide. API-ya peydakirî dihêle ku lawazî di asta commit û tagê de were tespît kirin û bandora lawaziyê li ser hilberên derivatîf û girêdayîbûnan were analîz kirin.
Source: opennet.ru
