Кампания Google объявила о запуске опенсорсного OSV-Scanner, который должен облегчить разработчикам поиск уязвимостей в проектах с открытым исходным кодом. Сканер написан на Go и опирается на распределенную базу опенсорсных уязвимостей OSV с открытым исходным кодом, созданную Google в феврале прошлого года.

По словам авторов, OSV-Scanner призван помочь в борьбе с уязвимостями цепочки поставок и предназначен для составления списка зависимостей проекта, а также уязвимостей, которые на них влияют. Идея заключается в том, чтобы определить все транзитивные зависимости и выделить соответствующие им уязвимости, используя данные из OSV.dev.

Пример работы сканера

«OSV-Scanner генерирует надежную и качественную информацию об уязвимостях, которая закрывает пробел между списком пакетов разработчика и информацией в базах данных уязвимостей», — пишут в Google.

Также разработчики сообщают, что OSV поддерживает 16 экосистем, включая все основные языки, дистрибутивы Linux (Debian и Alpine), Android, Linux Kernel и OSS-Fuzz, PyPI, npm, OSS-Fuzz и Maven.

Фактически это крупнейшая в мире база данных уязвимостей с открытым исходным кодом, только в 2022 году вобравшая в себя более 23 000 рекомендаций.

Инженеры Google рассказывают, что в будущем в OSV-Scanner улучшат поддержку уязвимостей C/C++, а также интегрируют автономные действия CI, чтобы упростить планирование сканирований. Также скоро OSV-Scanner научится рекомендовать конкретные версии, в которых уже устранены выявленные уязвимости.

Источник: xakep