Google geus ngenalkeun OSV-Scanner toolkit pikeun mariksa kerentanan unpatched dina kode jeung aplikasi, nyokot kana akun sakabéh ranté dependensi pakait sareng kode. OSV-Scanner ngidinan Anjeun pikeun ngaidentipikasi kaayaan dimana hiji aplikasi jadi rentan alatan masalah di salah sahiji perpustakaan dipaké salaku kagumantungan. Dina hal ieu, perpustakaan rentan bisa dipaké teu langsung, i.e. disebut ngaliwatan kagumantungan sejen. Kodeu proyék ditulis dina Go sareng disebarkeun dina lisénsi Apache 2.0.
OSV-Scanner tiasa sacara otomatis nyeken tangkal diréktori sacara otomatis, ngidentipikasi proyék sareng aplikasi ku ayana diréktori git (inpormasi ngeunaan kerentanan ditangtukeun ku analisa commit hashes), file SBOM (Software Bill Of Material dina format SPDX sareng CycloneDX), manifes atanapi konci manajer pakét file sapertos Benang, NPM, GEM, PIP sareng Cargo. Éta ogé ngadukung nyeken eusi gambar wadah Docker anu diwangun tina bungkusan tina repositori Debian.
Inpormasi ngeunaan kerentanan dicandak tina database OSV (Open Source Vulnerabilities), anu nyertakeun inpormasi ngeunaan masalah kaamanan dina Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian sareng Alpine, ogé data ngeunaan kerentanan dina kernel Linux sareng inpormasi tina laporan kerentanan dina proyék anu di-host dina GitHub. Database OSV ngagambarkeun status masalah fix, nunjukkeun commits kalawan penampilan sarta koreksi tina kerentanan, rentang versi kapangaruhan ku kerentanan, numbu ka Repository proyék kalawan kode, sarta iber ngeunaan masalah. API anu disayogikeun ngamungkinkeun anjeun pikeun ngalacak manifestasi kerentanan dina tingkat komitmen sareng tag sareng nganalisa kerentanan produk turunan sareng katergantungan kana masalah.
sumber: opennet.ru