„Google“ pristatė „OSV-Scanner“ įrankių rinkinį, kad patikrintų, ar kode ir programose nėra užtaisytų spragų, atsižvelgiant į visą su kodu susijusių priklausomybių grandinę. OSV skaitytuvas leidžia nustatyti situacijas, kai programa tampa pažeidžiama dėl problemų vienoje iš bibliotekų, naudojamų kaip priklausomybė. Tokiu atveju pažeidžiama biblioteka gali būti naudojama netiesiogiai, t.y. būti pašauktas per kitą priklausomybę. Projekto kodas parašytas Go ir platinamas pagal Apache 2.0 licenciją.
OSV-Scanner gali automatiškai rekursyviai nuskaityti katalogų medį, identifikuodamas projektus ir programas pagal git katalogų buvimą (informacija apie pažeidžiamumą nustatoma analizuojant įpareigojimo maišą), SBOM failus (SPDX ir CycloneDX formatų programinės įrangos medžiaga), manifestus arba užrakinti failų paketų tvarkykles, tokias kaip „Yarn“, „NPM“, „GEM“, „PIP“ ir „Cargo“. Jis taip pat palaiko „Docker“ konteinerių vaizdų, sukurtų iš paketų iš „Debian“ saugyklų, turinio nuskaitymą.
Informacija apie pažeidžiamumą paimama iš OSV (atvirojo kodo pažeidžiamumo) duomenų bazės, kurioje pateikiama informacija apie saugumo problemas Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. ( Python), RubyGems, Android, Debian ir Alpine, taip pat duomenys apie Linux branduolio pažeidžiamumą ir informacija iš pažeidžiamumo ataskaitų projektuose, priglobtuose GitHub. OSV duomenų bazė atspindi problemos taisymo būseną, nurodo įsipareigojimus, atsiradusius ir ištaisius pažeidžiamumą, pažeidžiamumo paveiktų versijų diapazoną, nuorodas į projekto saugyklą su kodu ir pranešimą apie problemą. Pateikta API leidžia sekti pažeidžiamumų pasireiškimą įsipareigojimų ir žymų lygmenyje ir analizuoti išvestinių produktų jautrumą ir priklausomybes nuo problemos.
Šaltinis: opennet.ru