Google predstavil súpravu nástrojov OSV-Scanner na kontrolu neopravených zraniteľností v kóde a aplikáciách, pričom berie do úvahy celý reťazec závislostí spojených s kódom. OSV-Scanner vám umožňuje identifikovať situácie, kedy sa aplikácia stáva zraniteľnou v dôsledku problémov v jednej z knižníc používaných ako závislosť. V tomto prípade môže byť zraniteľná knižnica použitá nepriamo, t.j. byť volaný cez inú závislosť. Kód projektu je napísaný v Go a distribuovaný pod licenciou Apache 2.0.
OSV-Scanner dokáže automaticky rekurzívne skenovať adresárový strom, pričom identifikuje projekty a aplikácie podľa prítomnosti adresárov git (informácie o zraniteľnosti sa zisťujú analýzou hash odovzdania), súborov SBOM (Software Bill Of Material vo formátoch SPDX a CycloneDX), manifestov alebo správcov balíkov zámkových súborov, ako sú Yarn, NPM, GEM, PIP a Cargo. Podporuje tiež skenovanie obsahu obrazov kontajnerov Docker vytvorených z balíkov z repozitárov Debianu.
Informácie o zraniteľnostiach sú prevzaté z databázy OSV (Open Source Vulnerabilities), ktorá pokrýva informácie o bezpečnostných problémoch v Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian a Alpine, ako aj údaje o zraniteľnostiach v jadre Linuxu a informácie zo správ o zraniteľnosti v projektoch hostených na GitHub. Databáza OSV odráža stav opravy problému, označuje potvrdenia s výskytom a opravou zraniteľnosti, rozsah verzií ovplyvnených zraniteľnosťou, odkazy na úložisko projektu s kódom a upozornenie na problém. Poskytnuté API vám umožňuje sledovať prejavy zraniteľnosti na úrovni commitov a značiek a analyzovať náchylnosť odvodených produktov a závislosti na problém.
Zdroj: opennet.ru