Uzņēmums Google ir ieviesis rīkkopu OSV-Scanner, lai pārbaudītu, vai kodā un lietojumprogrammās nav ievainojamību, ņemot vērā visu ar kodu saistīto atkarību ķēdi. OSV-Scanner ļauj noteikt situācijas, kad lietojumprogramma kļūst neaizsargāta, jo rodas problēmas vienā no bibliotēkām, kas tiek izmantotas kā atkarība. Šajā gadījumā ievainojamo bibliotēku var izmantot netieši, t.i. tikt izsauktam caur citu atkarību. Projekta kods ir rakstīts programmā Go un izplatīts saskaņā ar Apache 2.0 licenci.
OSV-Scanner var automātiski rekursīvi skenēt direktoriju koku, identificējot projektus un lietojumprogrammas pēc git direktoriju klātbūtnes (informācija par ievainojamībām tiek noteikta, analizējot commit jaucējus), SBOM failus (Software Bill Of Material SPDX un CycloneDX formātos), manifestus vai bloķētu failu pakotņu pārvaldnieki, piemēram, Yarn, NPM, GEM, PIP un Cargo. Tā atbalsta arī Docker konteinera attēlu satura skenēšanu, kas izveidoti no pakotnēm no Debian krātuvēm.
Informācija par ievainojamībām tiek ņemta no OSV (Open Source Vulnerabilities) datu bāzes, kas aptver informāciju par drošības problēmām Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. ( Python), RubyGems, Android, Debian un Alpine, kā arī dati par Linux kodola ievainojamībām un informācija no ievainojamības ziņojumiem projektos, kas mitināti vietnē GitHub. OSV datu bāze atspoguļo problēmas labojuma statusu, norāda saistības ar ievainojamības parādīšanos un labošanu, ievainojamības ietekmēto versiju diapazonu, saites uz projekta repozitoriju ar kodu un paziņojumu par problēmu. Nodrošinātā API ļauj izsekot ievainojamību izpausmēm saistību un tagu līmenī un analizēt atvasināto produktu jutību un atkarības pret problēmu.
Avots: opennet.ru