Компанія Google представила інструментарій OSV-Scanner для перевірки наявності невиправлених уразливостей у коді та додатках, що працює з урахуванням всього ланцюжка пов'язаних з кодом залежностей. OSV-Scanner дозволяє виявляти ситуації, коли програма стає вразливою через проблеми в одній із бібліотек, що використовуються як залежність. У цьому вразлива бібліотека можна використовувати опосередковано, тобто. викликатись через іншу залежність. Код проекту написаний мовою Go та поширюється під ліцензією Apache 2.0.
OSV-Scanner може автоматично рекурсивно сканувати дерево каталогів, визначаючи проекти та додатки по наявності git-каталогів (інформація про вразливості визначається через аналіз хешів коммітів), SBOM-файлів (Software Bill Of Material у форматах SPDX і CycloneDX), маніфестів або YEM, PIP та Cargo. Також підтримується сканування начинки образів docker-контейнерів, зібраних на основі пакетів з репозиторіїв Debian.
Інформація про вразливість береться з бази даних OSV (Open Source Vulnerabilities), що охоплює відомості про проблеми з безпекою в репозиторіях Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI (Python), RubyGem Android, Debian та Alpine, а також дані про вразливості в ядрі Linux та відомості зі звітів про вразливість у проектах, розміщених на GitHub. У базі OSV відображено статус виправлення проблеми, вказані коміти з появою та виправленням уразливості, діапазон схильних до вразливості версій, посилання на репозиторій проекту з кодом та повідомлення про проблему. Надані API дозволяють на рівні коммітів і тегів відстежити прояв уразливості та проаналізувати схильність до проблеми похідних продуктів і залежностей.
Джерело: opennet.ru
