Google imeanzisha zana ya zana ya OSV-Scanner ili kuangalia udhaifu ambao haujawekewa katika msimbo na programu, kwa kuzingatia msururu mzima wa vitegemezi vinavyohusishwa na msimbo. OSV-Scanner hukuruhusu kutambua hali ambapo programu inakuwa hatarini kutokana na matatizo katika mojawapo ya maktaba zinazotumika kama tegemezi. Katika kesi hii, maktaba ya mazingira magumu yanaweza kutumika kwa njia isiyo ya moja kwa moja, i.e. kuitwa kupitia utegemezi mwingine. Msimbo wa mradi umeandikwa katika Go na kusambazwa chini ya leseni ya Apache 2.0.
OSV-Scanner inaweza kuchanganua kiotomatiki mti wa saraka kwa kujirudia, ikitambua miradi na programu kulingana na uwepo wa saraka za Git (taarifa za udhaifu huamuliwa kwa kuchanganua hashes za commit), faili za SBOM (Programu ya Muswada wa Nyenzo katika umbizo za SPDX na CycloneDX), na huonyesha au kufunga faili kutoka kwa wasimamizi wa vifurushi kama vile Uzi, NPM, GEM, PIP, na Cargo. Pia inasaidia kuchanganua mzigo wa picha za kontena za Docker zilizojengwa kutoka kwa vifurushi katika hazina. Debian.

Taarifa za udhaifu zimechukuliwa kutoka kwenye hifadhidata ya OSV (Udhaifu wa Chanzo Huria), ambayo inashughulikia taarifa kuhusu masuala ya usalama katika hazina zifuatazo: Crate.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian na Alpine, pamoja na data ya udhaifu wa kernel Linux na taarifa kutoka kwa ripoti za udhaifu katika miradi inayoshikiliwa kwenye GitHub. Hifadhidata ya OSV inaonyesha hali ya utatuzi wa tatizo, majukumu yaliyoanzisha na kurekebisha udhaifu, aina mbalimbali za matoleo yaliyoathiriwa, viungo vya hazina ya msimbo wa mradi, na arifa ya tatizo. API iliyotolewa inaruhusu ugunduzi wa udhaifu katika kiwango cha ahadi na lebo na uchambuzi wa athari za udhaifu kwenye bidhaa na utegemezi unaotokana.

Chanzo: opennet.ru
