گوگل نے OSV-Scanner ٹول کٹ متعارف کرائی ہے تاکہ کوڈ اور ایپلیکیشنز میں غیر پیچیدگیوں کی جانچ پڑتال کی جا سکے، کوڈ سے منسلک انحصار کے پورے سلسلے کو مدنظر رکھتے ہوئے. OSV-Scanner آپ کو ایسے حالات کی نشاندہی کرنے کی اجازت دیتا ہے جہاں انحصار کے طور پر استعمال ہونے والی لائبریریوں میں سے کسی ایک میں مسائل کی وجہ سے ایپلیکیشن کمزور ہو جاتی ہے۔ اس صورت میں، کمزور لائبریری کو بالواسطہ طور پر استعمال کیا جا سکتا ہے، یعنی کسی اور انحصار کے ذریعے بلایا جائے۔ پروجیکٹ کوڈ گو میں لکھا گیا ہے اور اپاچی 2.0 لائسنس کے تحت تقسیم کیا گیا ہے۔
OSV-Scanner خود بخود ڈائرکٹری ٹری کو اسکین کر سکتا ہے، گٹ ڈائریکٹریز کی موجودگی کی بنیاد پر پروجیکٹس اور ایپلیکیشنز کی شناخت کر سکتا ہے (کمٹ ہیشز کا تجزیہ کرکے کمزوری کی معلومات کا تعین کیا جاتا ہے)، SBOM فائلز (SPDX اور CycloneDX فارمیٹس میں سافٹ ویئر بل آف میٹریل)، اور مینی فیسٹس یا لاک فائلوں جیسے PEM، YarnP، YarnP پیکج، YarnP، پیکجز، یا پیکجز کا انتظام۔ کارگو۔ یہ ذخیرہ خانوں میں پیکجوں سے بنی ڈوکر کنٹینر امیجز کے پے لوڈ کو اسکین کرنے کی بھی حمایت کرتا ہے۔ Debian.
خطرے کی معلومات OSV (اوپن سورس Vulnerabilities) ڈیٹا بیس سے لی گئی ہے، جو درج ذیل ذخیروں میں حفاظتی مسائل کے بارے میں معلومات کا احاطہ کرتا ہے: Crate.io (Rust)، Go، Maven، NPM (JavaScript)، NuGet (C#)، Packagist (PHP)، PyPI (Python)، RubyGems، Android, Debian اور الپائن، نیز دانا کی کمزوری کا ڈیٹا Linux اور GitHub پر ہوسٹ کیے گئے پروجیکٹس میں کمزوری کی رپورٹس سے معلومات۔ OSV ڈیٹابیس مسئلے کی درستی کی حیثیت، وہ کمٹٹس جس نے کمزوری کو متعارف کرایا اور طے کیا، متاثرہ ورژن کی حد، پروجیکٹ کے کوڈ ریپوزٹری کے لنکس، اور ایشو نوٹیفکیشن کی عکاسی کرتا ہے۔ فراہم کردہ API کمٹ اور ٹیگ کی سطح پر خطرے کا پتہ لگانے اور مشتق مصنوعات اور انحصار پر کمزوری کے اثرات کا تجزیہ کرنے کی اجازت دیتا ہے۔
ماخذ: opennet.ru
