Google har introducerat OSV-Scanner-verktygssatsen för att leta efter oparpade sårbarheter i kod och applikationer, med hänsyn till hela kedjan av beroenden som är associerade med koden. OSV-Scanner låter dig identifiera situationer där en applikation blir sårbar på grund av problem i ett av biblioteken som används som beroende. I detta fall kan det sårbara biblioteket användas indirekt, d.v.s. anropas genom ett annat beroende. Projektkoden är skriven i Go och distribueras under Apache 2.0-licensen.
OSV-Scanner kan automatiskt rekursivt skanna ett katalogträd, identifiera projekt och applikationer genom närvaron av git-kataloger (information om sårbarheter bestäms genom analys av commit-haschar), SBOM-filer (Software Bill Of Material i SPDX- och CycloneDX-format), manifest eller låsfiler pakethanterare som Yarn, NPM, GEM, PIP och Cargo. Den stöder också genomsökning av innehållet i Docker-containeravbildningar byggda från paket från Debians förråd.
Information om sårbarheter är hämtad från databasen OSV (Open Source Vulnerabilities), som täcker information om säkerhetsproblem i Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian och Alpine, samt data om sårbarheter i Linux-kärnan och information från sårbarhetsrapporter i projekt som är värd för GitHub. OSV-databasen återspeglar statusen för problemkorrigeringen, indikerar commits med utseendet och korrigeringen av sårbarheten, utbudet av versioner som påverkas av sårbarheten, länkar till projektets arkiv med koden och ett meddelande om problemet. Det medföljande API:et låter dig spåra manifestationen av sårbarheter på nivån av åtaganden och taggar och analysera känsligheten hos derivata produkter och beroenden av problemet.
Källa: opennet.ru