O Google introduziu o kit de ferramentas OSV-Scanner para verificar vulnerabilidades não corrigidas em códigos e aplicativos, levando em consideração toda a cadeia de dependências associadas ao código. OSV-Scanner permite identificar situações em que uma aplicação se torna vulnerável devido a problemas em uma das bibliotecas utilizadas como dependência. Neste caso, a biblioteca vulnerável pode ser usada indiretamente, ou seja, ser chamado através de outra dependência. O código do projeto é escrito em Go e distribuído sob a licença Apache 2.0.
OSV-Scanner pode verificar automaticamente recursivamente uma árvore de diretórios, identificando projetos e aplicações pela presença de diretórios git (as informações sobre vulnerabilidades são determinadas através da análise de hashes de commit), arquivos SBOM (Software Bill Of Material nos formatos SPDX e CycloneDX), manifestos ou bloquear gerenciadores de pacotes de arquivos como Yarn, NPM, GEM, PIP e Cargo. Ele também suporta a varredura do conteúdo de imagens de contêiner Docker construídas a partir de pacotes de repositórios Debian.
As informações sobre vulnerabilidades são retiradas do banco de dados OSV (Open Source Vulnerabilities), que cobre informações sobre problemas de segurança nos bancos de dados Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian e Alpine, além de dados sobre vulnerabilidades no kernel Linux e informações de relatórios de vulnerabilidades em projetos hospedados no GitHub. O banco de dados OSV reflete o status da correção do problema, indica os commits com o aparecimento e correção da vulnerabilidade, a gama de versões afetadas pela vulnerabilidade, links para o repositório do projeto com o código e uma notificação sobre o problema. A API fornecida permite rastrear a manifestação de vulnerabilidades no nível de commits e tags e analisar a suscetibilidade de produtos derivados e dependências ao problema.
Fonte: opennet.ru