Кампания Google объявила о запуске опенсорсного OSV-Scanner, который должен облегчить разработчикам поиск уязвимостей в проектах с открытым исходным кодом. Сканер написан на Go и опирается на распределенную базу опенсорсных уязвимостей OSV с открытым исходным кодом, созданную Google в феврале прошлого года.
По словам авторов, OSV-Scanner призван помочь в борьбе с уязвимостями цепочки поставок и предназначен для составления списка зависимостей проекта, а также уязвимостей, которые на них влияют. Идея заключается в том, чтобы определить все транзитивные зависимости и выделить соответствующие им уязвимости, используя данные из OSV.dev.
«OSV-Scanner генерирует надежную и качественную информацию об уязвимостях, которая закрывает пробел между списком пакетов разработчика и информацией в базах данных уязвимостей», — пишут в Google.
Также разработчики сообщают, что OSV поддерживает 16 экосистем, включая все основные языки, дистрибутивы Linux (Debian и Alpine), Android, Linux Kernel и OSS-Fuzz, PyPI, npm, OSS-Fuzz и Maven.
Фактически это крупнейшая в мире база данных уязвимостей с открытым исходным кодом, только в 2022 году вобравшая в себя более 23 000 рекомендаций.
Инженеры Google рассказывают, что в будущем в OSV-Scanner улучшат поддержку уязвимостей C/C++, а также интегрируют автономные действия CI, чтобы упростить планирование сканирований. Также скоро OSV-Scanner научится рекомендовать конкретные версии, в которых уже устранены выявленные уязвимости.
