谷歌推出了 OSV-Scanner 工具包来检查代码和应用程序中未修补的漏洞,同时考虑到与代码相关的整个依赖链。 OSV-Scanner 允许您识别由于用作依赖项的库之一出现问题而导致应用程序容易受到攻击的情况。 在这种情况下,可以间接使用有漏洞的库,即通过另一个依赖项来调用。 该项目代码是用 Go 编写的,并在 Apache 2.0 许可证下分发。
OSV-Scanner 可以自动递归扫描目录树,通过 git 目录(有关漏洞的信息通过分析提交哈希确定)、SBOM 文件(SPDX 和 CycloneDX 格式的软件物料清单)、清单或锁定文件包管理器,例如 Yarn、NPM、GEM、PIP 和 Cargo。 它还支持扫描从 Debian 存储库中的包构建的 Docker 容器映像的内容。
有关漏洞的信息取自 OSV(开源漏洞)数据库,该数据库涵盖了有关 Crates.io (Rust)、Go、Maven、NPM (JavaScript)、NuGet (C#)、Packagist (PHP)、PyPI 中的安全问题的信息( Python)、RubyGems、Android、Debian 和 Alpine,以及 Linux 内核中的漏洞数据以及 GitHub 上托管的项目中的漏洞报告信息。 OSV 数据库反映了问题修复的状态,指示了漏洞的出现和修正的提交、受漏洞影响的版本范围、包含代码的项目存储库链接以及有关问题的通知。 提供的 API 允许您在提交和标签级别跟踪漏洞的表现,并分析衍生产品的敏感性和问题的依赖性。
来源: opennet.ru