Google нь кодтой холбоотой хамаарлын гинжин хэлхээг бүхэлд нь харгалзан код болон програмын засварлагдаагүй эмзэг байдлыг шалгахын тулд OSV-Scanner хэрэгслийг нэвтрүүлсэн. OSV-Scanner нь хараат байдлаар ашиглагдаж буй аль нэг номын сангийн асуудлаас болж програм эмзэг болох нөхцөл байдлыг тодорхойлох боломжийг танд олгоно. Энэ тохиолдолд эмзэг номын санг шууд бусаар ашиглаж болно, i.e. өөр хамаарлаар дуудагдана. Төслийн код нь Go дээр бичигдсэн бөгөөд Apache 2.0 лицензийн дагуу түгээгддэг.
OSV-Scanner нь лавлах модыг автоматаар рекурсив байдлаар сканнердаж, төсөл, програмуудыг git директорууд (эмзэг байдлын талаарх мэдээллийг commit hashe-д дүн шинжилгээ хийх замаар тодорхойлно), SBOM файлууд (SPDX болон CycloneDX форматын програм хангамжийн материал), манифест эсвэл Yarn, NPM, GEM, PIP, Cargo зэрэг файлын багц менежерүүдийг түгжих. Энэ нь мөн Debian репозиторуудын багцуудаас бүтээгдсэн Docker контейнер зургийн агуулгыг сканнердахыг дэмждэг.
Эмзэг байдлын талаарх мэдээллийг Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI зэрэгт аюулгүй байдлын асуудлын талаарх мэдээллийг багтаасан OSV (Open Source Vulnerabilities) мэдээллийн сангаас авсан болно. ( Python), RubyGems, Android, Debian болон Alpine, түүнчлэн Linux цөм дэх эмзэг байдлын мэдээлэл, GitHub дээр байршуулсан төслүүдийн эмзэг байдлын тайлангийн мэдээлэл. OSV мэдээллийн сан нь асуудлын засварын статусыг тусгаж, эмзэг байдлын харагдах байдал, залруулга, эмзэг байдалд өртсөн хувилбаруудын хүрээ, код бүхий төслийн репозитор руу холбох, асуудлын талаарх мэдэгдлийг зааж өгдөг. Өгөгдсөн API нь үүрэг хариуцлага, тэмдэглэгээний түвшинд эмзэг байдлын илрэлийг хянах, үүсмэл бүтээгдэхүүн, асуудалд хамаарах хамаарлыг шинжлэх боломжийг олгодог.
Эх сурвалж: opennet.ru