Гоогле је представио комплет алата ОСВ-Сцаннер за проверу незакрпљених рањивости у коду и апликацијама, узимајући у обзир цео ланац зависности повезаних са кодом. ОСВ-Скенер вам омогућава да идентификујете ситуације у којима апликација постаје рањива због проблема у једној од библиотека које се користе као зависност. У овом случају, угрожена библиотека се може користити индиректно, тј. бити позвани кроз другу зависност. Код пројекта је написан у Го и дистрибуиран под лиценцом Апацхе 2.0.
OSV-Scanner може аутоматски рекурзивно скенирати стабло директоријума, идентификујући пројекте и апликације на основу присуства Git директоријума (информације о рањивости се одређују анализом хешева commit-а), SBOM датотека (Software Bill of Material у SPDX и CycloneDX форматима) и манифеста или закључавајућих датотека из менаџера пакета као што су Yarn, NPM, GEM, PIP и Cargo. Такође подржава скенирање корисног оптерећења слика Docker контејнера направљених од пакета у репозиторијумима. Debian.
Информације о рањивостима су преузете из OSV (Open Source Vulnerabilities) базе података, која обухвата информације о безбедносним проблемима у следећим репозиторијумима: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian и Alpine, као и податке о рањивостима језгра Linux и информације из извештаја о рањивостима у пројектима хостованим на GitHub-у. OSV база података одражава статус исправке проблема, commit-ове који су увели и исправили рањивост, опсег погођених верзија, везе до спремишта кода пројекта и обавештење о проблему. Обезбеђени API омогућава откривање рањивости на нивоу commit-а и ознака и анализу утицаја рањивости на изведене производе и зависности.
Извор: опеннет.ру
