Google imeanzisha zana ya zana ya OSV-Scanner ili kuangalia udhaifu ambao haujawekewa katika msimbo na programu, kwa kuzingatia msururu mzima wa vitegemezi vinavyohusishwa na msimbo. OSV-Scanner hukuruhusu kutambua hali ambapo programu inakuwa hatarini kutokana na matatizo katika mojawapo ya maktaba zinazotumika kama tegemezi. Katika kesi hii, maktaba ya mazingira magumu yanaweza kutumika kwa njia isiyo ya moja kwa moja, i.e. kuitwa kupitia utegemezi mwingine. Msimbo wa mradi umeandikwa katika Go na kusambazwa chini ya leseni ya Apache 2.0.
OSV-Scanner inaweza kuchanganua mti wa saraka kiotomatiki, kubainisha miradi na programu kwa uwepo wa saraka za git (habari kuhusu udhaifu hubainishwa kupitia uchanganuzi wa heshi), faili za SBOM (Programu ya Muswada wa Nyenzo katika muundo wa SPDX na CycloneDX), inaonyesha au funga wasimamizi wa vifurushi vya faili kama vile Uzi, NPM, GEM, PIP na Cargo. Pia inasaidia kuchanganua yaliyomo kwenye picha za kontena za Docker zilizojengwa kutoka kwa vifurushi kutoka kwa hazina za Debian.
Taarifa kuhusu udhaifu huchukuliwa kutoka kwa hifadhidata ya OSV (Open Source Vulnerabilities), ambayo inashughulikia taarifa kuhusu matatizo ya usalama katika Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI. ( Python), RubyGems, Android, Debian na Alpine, pamoja na data kuhusu udhaifu katika kinu cha Linux na maelezo kutoka kwa ripoti za uwezekano wa kuathiriwa katika miradi inayopangishwa kwenye GitHub. Hifadhidata ya OSV inaonyesha hali ya urekebishaji wa tatizo, inaonyesha ahadi kwa kuonekana na kusahihisha athari, aina mbalimbali za matoleo yaliyoathiriwa na athari, viungo vya hazina ya mradi na msimbo, na arifa kuhusu tatizo. API iliyotolewa hukuruhusu kufuatilia udhihirisho wa udhaifu katika kiwango cha ahadi na lebo na kuchanganua uwezekano wa bidhaa zinazotoka na utegemezi kwa shida.
Chanzo: opennet.ru