گوگل نے OSV-Scanner ٹول کٹ متعارف کرائی ہے تاکہ کوڈ اور ایپلیکیشنز میں غیر پیچیدگیوں کی جانچ پڑتال کی جا سکے، کوڈ سے منسلک انحصار کے پورے سلسلے کو مدنظر رکھتے ہوئے. OSV-Scanner آپ کو ایسے حالات کی نشاندہی کرنے کی اجازت دیتا ہے جہاں انحصار کے طور پر استعمال ہونے والی لائبریریوں میں سے کسی ایک میں مسائل کی وجہ سے ایپلیکیشن کمزور ہو جاتی ہے۔ اس صورت میں، کمزور لائبریری کو بالواسطہ طور پر استعمال کیا جا سکتا ہے، یعنی کسی اور انحصار کے ذریعے بلایا جائے۔ پروجیکٹ کوڈ گو میں لکھا گیا ہے اور اپاچی 2.0 لائسنس کے تحت تقسیم کیا گیا ہے۔
OSV-Scanner خود بخود ڈائرکٹری ٹری کو اسکین کر سکتا ہے، گٹ ڈائریکٹریز کی موجودگی سے پروجیکٹس اور ایپلی کیشنز کی شناخت کر سکتا ہے (کمیٹ ہیشز کے تجزیہ کے ذریعے کمزوریوں کے بارے میں معلومات کا تعین کیا جاتا ہے)، SBOM فائلز (SPDX اور CycloneDX فارمیٹس میں سافٹ ویئر بل آف میٹریل)، ظاہر یا لاک فائلز پیکج مینیجرز جیسے یارن، این پی ایم، جی ای ایم، پی آئی پی اور کارگو۔ یہ ڈیبین ریپوزٹریوں کے پیکجوں سے بنی ڈوکر کنٹینر امیجز کے مواد کو اسکین کرنے کی بھی حمایت کرتا ہے۔
خطرات کے بارے میں معلومات OSV (اوپن سورس Vulnerabilities) ڈیٹا بیس سے لی گئی ہے، جو Crates.io (Rust)، Go، Maven، NPM (JavaScript)، NuGet (C#)، پیکجسٹ (PHP)، PyPI میں سیکیورٹی کے مسائل کے بارے میں معلومات کا احاطہ کرتا ہے۔ (Python)، RubyGems، Android، Debian اور Alpine کے ساتھ ساتھ لینکس کے کرنل میں کمزوریوں سے متعلق ڈیٹا اور GitHub پر میزبانی کیے گئے پروجیکٹس میں خطرات کی رپورٹس سے معلومات۔ OSV ڈیٹا بیس مسئلے کے حل کی حیثیت کی عکاسی کرتا ہے، کمزوری کی ظاہری شکل اور اصلاح، کمزوری سے متاثر ہونے والے ورژنز کی رینج، کوڈ کے ساتھ پروجیکٹ کے ذخیرے کے لنکس، اور مسئلہ کے بارے میں ایک اطلاع کی نشاندہی کرتا ہے۔ فراہم کردہ API آپ کو کمٹ اور ٹیگز کی سطح پر کمزوریوں کے اظہار کو ٹریک کرنے اور مشتق مصنوعات کی حساسیت اور مسئلہ پر انحصار کا تجزیہ کرنے کی اجازت دیتا ہے۔
ماخذ: opennet.ru