Google telah memperkenalkan kit alat OSV-Scanner untuk menyemak kelemahan yang tidak ditambal dalam kod dan aplikasi, dengan mengambil kira keseluruhan rantaian kebergantungan yang dikaitkan dengan kod tersebut. OSV-Scanner membolehkan anda mengenal pasti situasi di mana aplikasi menjadi terdedah disebabkan masalah dalam salah satu perpustakaan yang digunakan sebagai kebergantungan. Dalam kes ini, perpustakaan yang terdedah boleh digunakan secara tidak langsung, i.e. dipanggil melalui pergantungan lain. Kod projek ditulis dalam Go dan diedarkan di bawah lesen Apache 2.0.
OSV-Scanner secara automatik boleh mengimbas pepohon direktori secara rekursif, mengenal pasti projek dan aplikasi dengan kehadiran direktori git (maklumat tentang kelemahan ditentukan melalui analisis cincang komit), fail SBOM (Software Bill Of Material dalam format SPDX dan CycloneDX), manifes atau kunci fail pengurus pakej seperti Benang, NPM, GEM, PIP dan Kargo. Ia juga menyokong pengimbasan kandungan imej kontena Docker yang dibina daripada pakej daripada repositori Debian.
Maklumat tentang kelemahan diambil daripada pangkalan data OSV (Open Source Vulnerabilities), yang meliputi maklumat tentang masalah keselamatan dalam Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian dan Alpine, serta data tentang kelemahan dalam kernel Linux dan maklumat daripada laporan kelemahan dalam projek yang dihoskan di GitHub. Pangkalan data OSV mencerminkan status pembetulan masalah, menunjukkan komitmen dengan penampilan dan pembetulan kelemahan, julat versi yang terjejas oleh kerentanan, pautan ke repositori projek dengan kod dan pemberitahuan tentang masalah. API yang disediakan membolehkan anda menjejaki manifestasi kelemahan pada tahap komitmen dan teg serta menganalisis kerentanan produk terbitan dan kebergantungan kepada masalah.
Sumber: opennet.ru