Google introduċiet l-OSV-Scanner toolkit biex tiċċekkja għal vulnerabbiltajiet mhux patched fil-kodiċi u l-applikazzjonijiet, filwaqt li tqis il-katina kollha ta 'dipendenzi assoċjati mal-kodiċi. OSV-Scanner jippermettilek tidentifika sitwazzjonijiet fejn applikazzjoni ssir vulnerabbli minħabba problemi f'waħda mil-libreriji użati bħala dipendenza. F'dan il-każ, il-librerija vulnerabbli tista' tintuża indirettament, i.e. tissejjaħ permezz ta’ dipendenza oħra. Il-kodiċi tal-proġett huwa miktub f'Go u mqassam taħt il-liċenzja Apache 2.0.
OSV-Scanner jista’ awtomatikament jiskennja b’mod rikorsiv siġra tad-direttorju, jidentifika proġetti u applikazzjonijiet bil-preżenza ta’ direttorji git (informazzjoni dwar il-vulnerabbiltajiet hija determinata permezz ta’ analiżi ta’ kommit hashes), fajls SBOM (Software Bill Of Material f’formati SPDX u CycloneDX), manifesti jew lock files maniġers tal-pakketti bħal Ħjut, NPM, GEM, PIP u Cargo. Jappoġġa wkoll l-iskannjar tal-kontenut tal-immaġini tal-kontejners Docker mibnija minn pakketti minn repożitorji Debian.
Informazzjoni dwar vulnerabbiltajiet hija meħuda mid-database OSV (Open Source Vulnerabilities), li tkopri informazzjoni dwar problemi ta 'sigurtà fil-Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian u Alpine, kif ukoll dejta dwar vulnerabbiltajiet fil-kernel tal-Linux u informazzjoni minn rapporti ta’ vulnerabbiltà fi proġetti ospitati fuq GitHub. Id-database OSV tirrifletti l-istatus tar-repożitorju tal-problema, tindika l-impenji bid-dehra u l-korrezzjoni tal-vulnerabbiltà, il-firxa ta 'verżjonijiet affettwati mill-vulnerabbiltà, links għar-repożitorju tal-proġett bil-kodiċi, u notifika dwar il-problema. L-API pprovduta tippermettilek issegwi l-manifestazzjoni ta 'vulnerabbiltajiet fil-livell ta' impenji u tikketti u tanalizza s-suxxettibilità ta 'prodotti derivattivi u dipendenzi għall-problema.
Sors: opennet.ru