Google bu həftənin əvvəlində yeni pulsuz alət təqdim etdi. Bu alətlə açıq mənbə tərtibatçıları öz layihələri haqqında zəiflik məlumatlarına asanlıqla daxil ola biləcəklər.
OSV Scanner adlanan bu Go əsaslı alət tərtibatçının kodunu və asılılıqlarını məlum zəifliklərin siyahısı ilə əlaqələndirən və yamaqlar və ya yeniləmələrə ehtiyac olduqda avtomatik olaraq geri qaytaran mexanizmə malikdir.
Proqram layihələri çox vaxt bir neçə asılılığa malikdir. Bununla belə, digər kitabxanalardan götürülmüş açıq mənbə paketlərindən əsasən sənədləşdirilməmiş kod parçaları var. Bu proqram proqram təminatında keçid asılılıq dediyimiz şeyi yaradır. Bu o deməkdir ki, o, əl ilə izləmək çətin olan çoxsaylı təhlükəsizlik zəifliklərini ehtiva edə bilər.
Tərtibatçılar layihələri üzərində OSV-Scanner işlətdikdə, manifestləri, SBOM-ları və hashləri emal edərək, keçid asılılıqlarını tapmağa başlayacaqlar. Daha sonra o, müvafiq zəifliklərə baxmaq üçün Açıq Mənbə Zəifliyi (OSV) verilənlər bazasına qoşulacaq.
İndi OSV-Skanerini sınaya bilərsiniz!
OSV-Skanerini yeni vebsaytdan istəyirsinizsə osv.dev Təlimatlara əməl etməklə bunu layihələrinizdə sınaya bilərsiniz. Və ya alternativ olaraq, Github layihənizdə OSV-Skanerini avtomatik işə salmaq üçün, Hesab kartıİstifadə edə bilərsən .
Ətraflı məlumat üçün security.googleblog.com Siz onu əldə edə bilərsiniz.
Layihənin Github ünvanına github.com/google/osv-scanner vasitəsilə daxil ola bilərsiniz
