Google פּאַבלישאַז OSV-Scanner, אַ דעפּענדענסי-אַווער וואַלנעראַביליטי סקאַננער

Google האָט באַקענענ די OSV-Scanner טאָאָלקיט צו קאָנטראָלירן פֿאַר אַנפּאַטשט וואַלנעראַביליטיז אין קאָד און אַפּלאַקיישאַנז, גענומען אין חשבון די גאנצע קייט פון דיפּענדאַנסיז פארבונדן מיט די קאָד. OSV-Scanner אַלאַוז איר צו ידענטיפיצירן סיטואַטיאָנס ווו אַ אַפּלאַקיישאַן ווערט שפּירעוודיק רעכט צו פּראָבלעמס אין איינער פון די לייברעריז געניצט ווי אַ דעפּענדענסי. אין דעם פאַל, די שפּירעוודיק ביבליאָטעק קענען זיין געוויינט מינאַצאַד, ד.ה. ווערן גערופן דורך אן אנדער דעפּענדענסי. די פּרויעקט קאָד איז געשריבן אין Go און פונאנדערגעטיילט אונטער די Apache 2.0 דערלויבעניש.

OSV-Scanner קענען אויטאָמאַטיש רעקורסיוולי יבערקוקן אַ וועגווייַזער בוים, ידענטיפיצירן פּראַדזשעקס און אַפּלאַקיישאַנז דורך די בייַזייַן פון גיט דיירעקטעריז (אינפֿאָרמאַציע וועגן וואַלנעראַביליטיז איז באשלאסן דורך אַנאַליסיס פון יבערגעבן האַשעס), SBOM טעקעס (Software Bill Of Material אין SPDX און CycloneDX פֿאָרמאַטירונגען), מאַנאַפעסטיז אָדער שלאָס טעקע מאַנאַדזשערז אַזאַ ווי Yarn, NPM, GEM, PIP און Cargo. עס אויך שטיצט סקאַנינג די אינהאַלט פון דאָקקער קאַנטיינער בילדער געבויט פֿון פּאַקאַדזשאַז פון דעביאַן ריפּאַזאַטאָריז.

אינפֿאָרמאַציע וועגן וואַלנעראַביליטיז איז גענומען פֿון די OSV (Open Source Vulnerabilities) דאַטאַבייס, וואָס קאָווערס אינפֿאָרמאַציע וועגן זיכערהייט פּראָבלעמס אין די Crates.io (Rust), Go, Maven, NPM (JavaScript), NuGet (C #), Packagist (PHP), PyPI. (Python), RubyGems, Android, Debian און Alpine, ווי געזונט ווי דאַטן וועגן וואַלנעראַביליטיז אין די לינוקס קערן און אינפֿאָרמאַציע פֿון וואַלנעראַביליטי ריפּאָרץ אין פּראַדזשעקס כאָוסטיד אויף GitHub. די OSV דאַטאַבייס ריפלעקס די סטאַטוס פון די פּראָבלעם פאַרריכטן, ינדיקייץ די קאַמיץ מיט די אויסזען און קערעקשאַן פון די וואַלנעראַביליטי, די קייט פון ווערסיעס אַפעקטאַד דורך די וואַלנעראַביליטי, פֿאַרבינדונגען צו די פּרויעקט ריפּאַזאַטאָרי מיט די קאָד און אַ אָנזאָג וועגן דעם פּראָבלעם. די צוגעשטעלט API אַלאַוז איר צו שפּור די מאַנאַפעסטיישאַן פון וואַלנעראַביליטיז אויף די מדרגה פון קאַמיץ און טאַגס און אַנאַלייז די סאַסעפּטאַבילאַטי פון דעריוואַט פּראָדוקטן און דיפּענדאַנסיז צו דעם פּראָבלעם.

מקור: opennet.ru