Google ka prezantuar paketën e veglave OSV-Scanner për të kontrolluar dobësitë e papatchuara në kod dhe aplikacione, duke marrë parasysh të gjithë zinxhirin e varësive të lidhura me kodin. OSV-Scanner ju lejon të identifikoni situatat kur një aplikacion bëhet i cenueshëm për shkak të problemeve në një nga bibliotekat e përdorura si varësi. Në këtë rast, biblioteka e cenueshme mund të përdoret në mënyrë indirekte, d.m.th. të thirret nëpërmjet një varësie tjetër. Kodi i projektit është shkruar në Go dhe shpërndahet nën licencën Apache 2.0.
OSV-Scanner mund të skanojë automatikisht në mënyrë rekursive një pemë drejtorie, duke identifikuar projektet dhe aplikacionet nga prania e drejtorive git (informacioni rreth dobësive përcaktohet përmes analizës së hasheve të kryerjes), skedarëve SBOM (Programi Bill Of Material në formatet SPDX dhe CycloneDX), manifestet ose bllokoj menaxherët e paketave të skedarëve si fije, NPM, GEM, PIP dhe Cargo. Ai gjithashtu mbështet skanimin e përmbajtjes së imazheve të kontejnerëve Docker të ndërtuara nga paketat nga depot e Debian.
Informacioni rreth dobësive është marrë nga baza e të dhënave OSV (Open Source Vulnerabilities), e cila mbulon informacione rreth problemeve të sigurisë në Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian dhe Alpine, si dhe të dhëna mbi dobësitë në kernelin Linux dhe informacione nga raportet e dobësive në projektet e pritura në GitHub. Baza e të dhënave OSV pasqyron statusin e rregullimit të problemit, tregon kryerjet me shfaqjen dhe korrigjimin e cenueshmërisë, gamën e versioneve të prekura nga cenueshmëria, lidhjet me depon e projektit me kodin dhe një njoftim për problemin. API-ja e ofruar ju lejon të gjurmoni manifestimin e dobësive në nivelin e angazhimeve dhe etiketave dhe të analizoni ndjeshmërinë e produkteve të derivateve dhe varësive ndaj problemit.
Burimi: opennet.ru