Дата публикации:Wed, 14 Dec 2022 19:42:55 +0300
Компания Google представила инструментарий OSV-Scanner для проверки наличия неисправленных уязвимостей в коде и приложениях, работающий с учётом всей цепочки связанных с кодом зависимостей. OSV-Scanner позволяет выявлять ситуации, когда приложение становится уязвимым из-за проблем в одной из библиотек, используемых в качестве зависимости. При этом уязвимая библиотека может использоваться опосредованно, т.е. вызываться через другую зависимость. Код проекта написан на языке Go и распространяется под лицензией Apache 2.0.
OSV-Scanner может автоматически рекурсивно сканировать дерево каталогов, определяя проекты и приложения по наличию git-каталогов (информация об уязвимостях определяется через анализ хэшей коммитов), SBOM-файлов (Software Bill Of Material в форматах SPDX и CycloneDX), манифестов или lock-файлов пакетных менеджеров, таких как Yarn, NPM, GEM, PIP и Cargo. Также поддерживается сканирование начинки образов docker-контейнеров, собранных на основе пакетов из репозиториев Debian.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=58325