Google har introducerat verktygslÄdan OSV-Scanner för att söka efter ouppdaterade sÄrbarheter i kod och applikationer, och arbetar med hela kedjan av beroenden som Àr associerade med koden. OSV-Scanner lÄter dig identifiera situationer dÀr en applikation blir sÄrbar pÄ grund av problem i ett av de bibliotek som anvÀnds som ett beroende. I det hÀr fallet kan det sÄrbara biblioteket anvÀndas indirekt, dvs. anropas via ett annat beroende. Projektkoden Àr skriven i Go och distribueras under Apache 2.0-licensen.
OSV-Scanner kan automatiskt rekursivt skanna ett katalogtrÀd och identifiera projekt och applikationer baserat pÄ nÀrvaron av Git-kataloger (sÄrbarhetsinformation faststÀlls genom att analysera commit-hashar), SBOM-filer (Software Bill of Material i SPDX- och CycloneDX-format) och manifestera eller lÄsa filer frÄn pakethanterare som Yarn, NPM, GEM, PIP och Cargo. Det stöder ocksÄ skanning av nyttolasten för Docker-containeravbildningar byggda frÄn paket i repositorier. Debian.
Informationen om sÄrbarheter Àr hÀmtad frÄn OSV-databasen (Open Source Vulnerabilities), som innehÄller information om sÀkerhetsproblem i följande arkiv: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian och Alpine, samt data om kÀrnans sÄrbarhet Linux och information frÄn sÄrbarhetsrapporter i projekt som finns pÄ GitHub. OSV-databasen Äterspeglar problemets ÄtgÀrdsstatus, de commits som introducerade och ÄtgÀrdade sÄrbarheten, antalet berörda versioner, lÀnkar till projektets kodförrÄd och problemmeddelandet. Det tillhandahÄllna API:et möjliggör sÄrbarhetsdetektering pÄ commit- och taggnivÄ och analys av sÄrbarhetens inverkan pÄ derivatprodukter och beroenden.
KĂ€lla: opennet.ru
