Компанія Google представила інструментарій OSV-Scanner для перевірки наявності невиправлених уразливостей у коді та додатках, що працює з урахуванням всього ланцюжка пов'язаних з кодом залежностей. OSV-Scanner дозволяє виявляти ситуації, коли програма стає вразливою через проблеми в одній із бібліотек, що використовуються як залежність. У цьому вразлива бібліотека можна використовувати опосередковано, тобто. викликатись через іншу залежність. Код проекту написаний мовою Go та поширюється під ліцензією Apache 2.0.
OSV-Scanner може автоматично рекурсивно сканувати дерево каталогів, визначаючи проекти та програми з наявності git-каталогів (інформація про вразливості визначається через аналіз хешів коммітів), SBOM-файлів (Software Bill Of Material у форматах SPDX та CycloneDX), маніфестів чи lock-файлів пакетних менеджерів, таких як Yarn, NPM, GEM, PIP та Cargo. Також підтримується сканування начинок образів docker-контейнерів, зібраних на основі пакетів з репозиторіїв Debian.
Інформація про вразливість береться з бази даних OSV (Open Source Vulnerabilities), що охоплює інформацію про проблеми з безпекою в репозиторіях Сrates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C#), Packagist (PHP), PyPI ( Python), RubyGems, Android, Debian та Alpine, а також дані про вразливості в ядрі Linux та відомості зі звітів про вразливості у проектах, розміщених на GitHub. У базі OSV відображено статус виправлення проблеми, вказані коміти з появою та виправленням уразливості, діапазон схильних до вразливості версій, посилання на репозиторій проекту з кодом та повідомлення про проблему. Надані API дозволяють на рівні коммітів і тегів відстежити прояв уразливості та проаналізувати схильність до проблеми похідних продуктів і залежностей.
Джерело: opennet.ru