Google je predstavil nabor orodij OSV-Scanner za preverjanje nezakrpanih ranljivosti v kodi in aplikacijah, pri čemer upošteva celotno verigo odvisnosti, povezano s kodo. OSV-Scanner vam omogoča prepoznavanje situacij, ko postane aplikacija ranljiva zaradi težav v eni od knjižnic, ki se uporabljajo kot odvisnost. V tem primeru se lahko ranljiva knjižnica uporabi posredno, tj. poklicati prek druge odvisnosti. Koda projekta je napisana v Go in se distribuira pod licenco Apache 2.0.
OSV-Scanner lahko samodejno rekurzivno skenira drevo imenikov, pri čemer identificira projekte in aplikacije glede na prisotnost imenikov git (informacije o ranljivostih se določijo z analizo zgoščenj potrditev), datotek SBOM (Programski list materiala v formatih SPDX in CycloneDX), manifestov oz. upravitelji paketov zaklepnih datotek, kot so Yarn, NPM, GEM, PIP in Cargo. Podpira tudi skeniranje vsebine slik vsebnika Docker, zgrajenih iz paketov iz repozitorijev Debian.
Informacije o ranljivostih so vzete iz baze podatkov OSV (Open Source Vulnerabilities), ki zajema informacije o varnostnih težavah v Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian in Alpine ter podatke o ranljivostih v jedru Linuxa in informacije iz poročil o ranljivostih v projektih, ki gostujejo na GitHubu. Podatkovna baza OSV odraža status popravka težave, označuje objave z videzom in popravkom ranljivosti, obseg različic, na katere vpliva ranljivost, povezave do repozitorija projekta s kodo in obvestilo o težavi. Zagotovljeni API vam omogoča sledenje manifestacijam ranljivosti na ravni potrditev in oznak ter analiziranje dovzetnosti izpeljanih izdelkov in odvisnosti od težave.
Vir: opennet.ru