谷歌推出了 OSV-Scanner 工具包來檢查程式碼和應用程式中未修補的漏洞,同時考慮到與程式碼相關的整個依賴鏈。 OSV-Scanner 可讓您識別因用作依賴項的庫之一出現問題而導致應用程式容易受到攻擊的情況。 在這種情況下,可以間接使用有漏洞的函式庫,即透過另一個依賴項來呼叫。 該專案代碼是用 Go 編寫的,並在 Apache 2.0 許可證下分發。
OSV-Scanner 可以自動遞歸掃描目錄樹,透過 git 目錄(有關漏洞的資訊透過分析提交雜湊確定)、SBOM 檔案(SPDX 和 CycloneDX 格式的軟體物料清單)、清單或鎖定檔案套件管理器,例如Yarn、 NPM、GEM、PIP 和Cargo。 它還支援掃描從 Debian 儲存庫中的套件建立的 Docker 容器映像的內容。
有關漏洞的資訊取自OSV(開源漏洞)資料庫,該資料庫涵蓋了有關Crates.io (Rust)、Go、Maven、NPM (JavaScript)、NuGet (C#)、Packagist (PHP)、PyPI 中的安全問題的資訊( Python)、RubyGems、Android、Debian 和 Alpine,以及 Linux 核心中的漏洞資料以及 GitHub 上託管的專案中的漏洞報告資訊。 OSV 資料庫反映了問題修復的狀態,指示了漏洞的出現和修正的提交、受漏洞影響的版本範圍、包含程式碼的專案儲存庫連結以及有關問題的通知。 提供的 API 可讓您在提交和標籤層級追蹤漏洞的表現,並分析衍生產品的敏感度和問題的依賴性。
來源: opennet.ru