Google ได้เปิดตัวชุดเครื่องมือ OSV-Scanner เพื่อตรวจสอบช่องโหว่ที่ยังไม่ได้รับการแก้ไขในโค้ดและแอปพลิเคชัน โดยคำนึงถึงห่วงโซ่การพึ่งพาทั้งหมดที่เกี่ยวข้องกับโค้ด OSV-Scanner ช่วยให้คุณสามารถระบุสถานการณ์ที่แอปพลิเคชันมีช่องโหว่เนื่องจากปัญหาในไลบรารีใดไลบรารีหนึ่งที่ใช้เป็นการพึ่งพา ในกรณีนี้ ไลบรารีที่มีช่องโหว่สามารถนำไปใช้ทางอ้อมได้ เช่น ถูกเรียกผ่านการพึ่งพาอื่น รหัสโครงการเขียนด้วยภาษา Go และเผยแพร่ภายใต้ลิขสิทธิ์ Apache 2.0
OSV-Scanner สามารถสแกนแผนผังไดเร็กทอรีซ้ำโดยอัตโนมัติ ระบุโปรเจ็กต์และแอปพลิเคชันโดยการมีอยู่ของไดเร็กทอรี git (ข้อมูลเกี่ยวกับช่องโหว่ถูกกำหนดผ่านการวิเคราะห์แฮชคอมมิต) ไฟล์ SBOM (รายการซอฟต์แวร์ของวัสดุในรูปแบบ SPDX และ CycloneDX) แสดงรายการหรือ ล็อคตัวจัดการแพ็คเกจไฟล์เช่น Yarn, NPM, GEM, PIP และ Cargo นอกจากนี้ยังรองรับการสแกนเนื้อหาของอิมเมจคอนเทนเนอร์ Docker ที่สร้างจากแพ็คเกจจากที่เก็บ Debian
ข้อมูลเกี่ยวกับช่องโหว่นั้นนำมาจากฐานข้อมูล OSV (Open Source Vulnerabilities) ซึ่งครอบคลุมข้อมูลเกี่ยวกับปัญหาด้านความปลอดภัยใน Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGems, Android, Debian และ Alpine รวมถึงข้อมูลเกี่ยวกับช่องโหว่ในเคอร์เนล Linux และข้อมูลจากรายงานช่องโหว่ในโครงการที่โฮสต์บน GitHub ฐานข้อมูล OSV สะท้อนถึงสถานะของการแก้ไขปัญหา ระบุการคอมมิตด้วยลักษณะที่ปรากฏและการแก้ไขช่องโหว่ ช่วงของเวอร์ชันที่ได้รับผลกระทบจากช่องโหว่ ลิงก์ไปยังที่เก็บโปรเจ็กต์พร้อมโค้ด และการแจ้งเตือนเกี่ยวกับปัญหา API ที่ให้มาช่วยให้คุณสามารถติดตามการปรากฏของช่องโหว่ในระดับคอมมิตและแท็ก และวิเคราะห์ความอ่อนไหวของผลิตภัณฑ์อนุพันธ์และการขึ้นต่อกันของปัญหา
ที่มา: opennet.ru