„Google“ pristatė „OSV-Scanner“ įrankių rinkinį, kad patikrintų, ar kode ir programose nėra užtaisytų spragų, atsižvelgiant į visą su kodu susijusių priklausomybių grandinę. OSV skaitytuvas leidžia nustatyti situacijas, kai programa tampa pažeidžiama dėl problemų vienoje iš bibliotekų, naudojamų kaip priklausomybė. Tokiu atveju pažeidžiama biblioteka gali būti naudojama netiesiogiai, t.y. būti pašauktas per kitą priklausomybę. Projekto kodas parašytas Go ir platinamas pagal Apache 2.0 licenciją.
„OSV-Scanner“ gali automatiškai rekursyviai nuskaityti katalogų medį, identifikuodamas projektus ir programas pagal „Git“ katalogų buvimą (pažeidžiamumo informacija nustatoma analizuojant pakeitimų maišas), SBOM failus (programinės įrangos medžiagų sąrašą SPDX ir „CycloneDX“ formatais) ir manifestų arba užrakinimo failus iš paketų tvarkyklių, tokių kaip „Yarn“, „NPM“, „GEM“, „PIP“ ir „Cargo“. Jis taip pat palaiko „Docker“ konteinerių atvaizdų, sukurtų iš saugyklose esančių paketų, naudingosios apkrovos nuskaitymą. Debian.
Informacija apie pažeidžiamumus paimta iš OSV (atvirojo kodo pažeidžiamumų) duomenų bazės, kurioje pateikiama informacija apie saugumo problemas šiose saugyklose: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems. Android, Debian ir „Alpine“, taip pat branduolio pažeidžiamumo duomenys Linux ir informaciją iš pažeidžiamumų ataskaitų projektuose, talpinamuose „GitHub“. OSV duomenų bazėje pateikiama problemos ištaisymo būsena, pakeitimai, kurie sukėlė ir ištaisė pažeidžiamumą, paveiktų versijų diapazonas, nuorodos į projekto kodo saugyklą ir pranešimas apie problemą. Pateikta API leidžia aptikti pažeidžiamumus pakeitimų ir žymų lygmeniu bei analizuoti pažeidžiamumo poveikį išvestiniams produktams ir priklausomybėms.
Šaltinis: opennet.ru
