Google ka prezantuar OSV-Scanner, një mjet për të kontrolluar kodin dhe aplikacionet për dobësi të paantifizuara, duke marrë parasysh të gjithë zinxhirin e varësive. OSV-Scanner identifikon situatat kur një aplikacion bëhet i cenueshëm për shkak të problemeve në njërën nga bibliotekat e përdorura si varësi. Për më tepër, biblioteka e cenueshme mund të përdoret në mënyrë indirekte, d.m.th., të thirret përmes një varësie tjetër. Kodi i projektit është shkruar në Go dhe shpërndahet sipas licencës Apache 2.0.
OSV-Scanner mund të skanojë automatikisht në mënyrë rekursive një pemë drejtorish, duke identifikuar projekte dhe aplikacione bazuar në praninë e drejtorive Git (informacioni mbi dobësitë përcaktohet duke analizuar hash-et e kryerjes së detyrave), skedarët SBOM (Software List of Material në formatet SPDX dhe CycloneDX) dhe skedarët manifest ose bllokues nga menaxherët e paketave si Yarn, NPM, GEM, PIP dhe Cargo. Ai gjithashtu mbështet skanimin e ngarkesës së imazheve të kontejnerëve Docker të ndërtuara nga paketat në depo. Debian.
Informacioni mbi dobësitë është marrë nga baza e të dhënave OSV (Open Source Vulnerabilities), e cila mbulon informacionin rreth problemeve të sigurisë në depot e mëposhtme: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian dhe Alpine, si dhe të dhënat e cenueshmërisë së kernelit Linux dhe informacion nga raportet e dobësive në projektet e hostuara në GitHub. Baza e të dhënave OSV pasqyron statusin e rregullimit të problemit, angazhimet që prezantuan dhe rregulluan dobësinë, gamën e versioneve të prekura, lidhjet me depon e kodit të projektit dhe njoftimin e problemit. API-ja e ofruar lejon zbulimin e dobësive në nivelin e angazhimit dhe etiketës dhe analizën e ndikimit të dobësisë në produktet dhe varësitë derivative.
Burimi: opennet.ru
