Google heeft de OSV-Scanner-toolkit geïntroduceerd voor het controleren op ongepatchte kwetsbaarheden in code en applicaties. Deze toolkit werkt met de volledige keten van afhankelijkheden die bij de code horen. Met OSV-Scanner kunt u situaties identificeren waarin een applicatie kwetsbaar wordt door problemen in een van de bibliotheken die als afhankelijkheid worden gebruikt. In dat geval kan de kwetsbare bibliotheek indirect worden gebruikt, d.w.z. aangeroepen via een andere afhankelijkheid. De projectcode is geschreven in Go en wordt gedistribueerd onder de Apache 2.0-licentie.
OSV-Scanner kan automatisch een directorystructuur recursief scannen en projecten en applicaties identificeren op basis van de aanwezigheid van Git-directory's (kwetsbaarheidsinformatie wordt bepaald door commit-hashes te analyseren), SBOM-bestanden (Software Bill of Material in SPDX- en CycloneDX-formaat) en manifesten of lock-bestanden van pakketbeheerders zoals Yarn, NPM, GEM, PIP en Cargo. Het ondersteunt ook het scannen van de payload van Docker-containerimages die zijn gebouwd vanuit pakketten in repositories. Debian.
De informatie over kwetsbaarheden is afkomstig uit de OSV-database (Open Source Vulnerabilities), die informatie bevat over beveiligingsproblemen in de volgende repositories: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems. Android, Debian en Alpine, evenals gegevens over kwetsbaarheden in de kernel. Linux en informatie uit kwetsbaarheidsrapporten in projecten die op GitHub worden gehost. De OSV-database geeft de status van de oplossing van het probleem weer, de commits die de kwetsbaarheid introduceerden en verhielpen, het bereik van getroffen versies, links naar de code repository van het project en de melding van het probleem. De aangeboden API maakt het mogelijk om kwetsbaarheden op commit- en tagniveau te detecteren en de impact van de kwetsbaarheid op afgeleide producten en afhankelijkheden te analyseren.
Bron: opennet.ru
