కోడ్తో అనుబంధించబడిన డిపెండెన్సీల మొత్తం గొలుసును పరిగణనలోకి తీసుకుని, కోడ్ మరియు అప్లికేషన్లలో అన్ప్యాచ్ చేయని దుర్బలత్వాలను తనిఖీ చేయడానికి Google OSV-స్కానర్ టూల్కిట్ను పరిచయం చేసింది. OSV-స్కానర్ డిపెండెన్సీగా ఉపయోగించే లైబ్రరీలలో ఒకదానిలో సమస్యల కారణంగా అప్లికేషన్ హాని కలిగించే పరిస్థితులను గుర్తించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఈ సందర్భంలో, హాని కలిగించే లైబ్రరీని పరోక్షంగా ఉపయోగించవచ్చు, అనగా. మరొక డిపెండెన్సీ ద్వారా పిలుస్తారు. ప్రాజెక్ట్ కోడ్ గోలో వ్రాయబడింది మరియు Apache 2.0 లైసెన్స్ క్రింద పంపిణీ చేయబడుతుంది.
OSV-స్కానర్ స్వయంచాలకంగా డైరెక్టరీ ట్రీని స్కాన్ చేయగలదు, ప్రాజెక్ట్లు మరియు అప్లికేషన్లను git డైరెక్టరీల ఉనికి ద్వారా గుర్తిస్తుంది (కమిట్ హ్యాష్ల విశ్లేషణ ద్వారా దుర్బలత్వాల గురించి సమాచారం నిర్ణయించబడుతుంది), SBOM ఫైల్లు (SPDX మరియు CycloneDX ఫార్మాట్లలో సాఫ్ట్వేర్ బిల్ ఆఫ్ మెటీరియల్), మానిఫెస్ట్లు లేదా నూలు, NPM, GEM, PIP మరియు కార్గో వంటి ఫైల్ల ప్యాకేజీ నిర్వాహకులను లాక్ చేయండి. ఇది డెబియన్ రిపోజిటరీల నుండి ప్యాకేజీల నుండి నిర్మించబడిన డాకర్ కంటైనర్ ఇమేజ్ల కంటెంట్లను స్కాన్ చేయడానికి కూడా మద్దతు ఇస్తుంది.
దుర్బలత్వాల గురించిన సమాచారం OSV (ఓపెన్ సోర్స్ వల్నరబిలిటీస్) డేటాబేస్ నుండి తీసుకోబడింది, ఇది Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPIలోని భద్రతా సమస్యల గురించి సమాచారాన్ని కవర్ చేస్తుంది. (Python), RubyGems, Android, Debian మరియు Alpine, అలాగే Linux కెర్నల్లోని దుర్బలత్వాలపై డేటా మరియు GitHubలో హోస్ట్ చేయబడిన ప్రాజెక్ట్లలోని దుర్బలత్వ నివేదికల నుండి సమాచారం. OSV డేటాబేస్ సమస్య పరిష్కార స్థితిని ప్రతిబింబిస్తుంది, దుర్బలత్వం యొక్క రూపాన్ని మరియు దిద్దుబాటును సూచిస్తుంది, దుర్బలత్వం ద్వారా ప్రభావితమైన సంస్కరణల పరిధి, కోడ్తో ప్రాజెక్ట్ రిపోజిటరీకి లింక్లు మరియు సమస్య గురించి నోటిఫికేషన్. అందించిన API మిమ్మల్ని కమిట్లు మరియు ట్యాగ్ల స్థాయిలో దుర్బలత్వాల అభివ్యక్తిని ట్రాక్ చేయడానికి మరియు సమస్యకు ఉత్పన్నమైన ఉత్పత్తులు మరియు డిపెండెన్సీల గ్రహణశీలతను విశ్లేషించడానికి అనుమతిస్తుంది.
మూలం: opennet.ru