谷歌推出了 OSV-Scanner 工具包来检查代码和应用程序中未修补的漏洞,同时考虑到与代码相关的整个依赖链。 OSV-Scanner 允许您识别由于用作依赖项的库之一出现问题而导致应用程序容易受到攻击的情况。 在这种情况下,可以间接使用有漏洞的库,即通过另一个依赖项来调用。 该项目代码是用 Go 编写的,并在 Apache 2.0 许可证下分发。
OSV-Scanner 可以自动递归扫描目录树,根据 Git 目录(漏洞信息通过分析提交哈希值确定)、SBOM 文件(SPDX 和 CycloneDX 格式的软件物料清单)以及 Yarn、NPM、GEM、PIP 和 Cargo 等包管理器的清单或锁定文件来识别项目和应用程序。它还支持扫描从仓库中的软件包构建的 Docker 容器镜像的有效载荷。 Debian.
漏洞信息取自 OSV(开源漏洞)数据库,该数据库涵盖以下代码库中的安全问题信息:Crate.io(Rust)、Go、Maven、NPM(JavaScript)、NuGet(C#)、Packagist(PHP)、PyPI(Python)、RubyGems。 Android, Debian 以及 Alpine,以及内核漏洞数据 Linux 以及来自 GitHub 托管项目中漏洞报告的信息。OSV 数据库反映了问题的修复状态、引入和修复漏洞的提交、受影响的版本范围、指向项目代码库的链接以及问题通知。提供的 API 支持在提交和标签级别进行漏洞检测,并分析漏洞对衍生产品和依赖项的影响。
来源: opennet.ru
