Το 2022 η Google κυκλοφόρησε ένα εργαλείο για εύκολη σάρωση κενών ασφαλείας σε εξαρτήσεις. Το εργαλείο ονομάστηκε OSV-Scanner.
“Μαζί με την κοινότητα ανοιχτού κώδικα, συνεχίσαμε να αναπτύσσουμε αυτό το εργαλείο, προσθέτοντας λειτουργίες αποκατάστασης”, σύμφωνα με το blog ασφαλείας της Google, “και επεκτείναμε την υποστήριξη του οικοσυστήματος σε 11 γλώσσες προγραμματισμού και 20 μορφές διαχείρισης πακέτων. Οι χρήστες που αναζητούν ένα out-of-the-box εργαλείο CLI σάρωσης ευπαθειών θα πρέπει να ελέγξουν το OSV-Scanner, το οποίο παρέχει ήδη ολοκληρωμένες δυνατότητες σάρωσης πακέτων…”
Την Πέμπτη λοιπόν ανακοίνωσαν μια επεκτάσιμη βιβλιοθήκη για σάρωση “ανάλυσης σύνθεσης λογισμικού” (καθώς και για σάρωση συστήματος αρχείων) με την ονομασία OSV-SCALIBR (από το Open Source Vulnerability — Software Composition Analysis LIBRary).
Η νέα βιβλιοθήκη “συνδυάζει την εσωτερική τεχνογνωσία της Google στη διαχείριση ευπαθειών σε μια βιβλιοθήκη σάρωσης με σημαντικές νέες δυνατότητες.
“Το OSV-SCALIBR είναι πλέον η κύρια μηχανή ανάλυσης σύνθεσης λογισμικού που χρησιμοποιείται στην Google για live κεντρικούς υπολογιστές, αποθετήρια κώδικα και containers. Έχει χρησιμοποιηθεί και δοκιμαστεί εκτενώς σε πολλά διαφορετικά προϊόντα και εσωτερικά εργαλεία για να βοηθήσει στη δημιουργία SBOM, στην εύρεση τρωτών σημείων και στην προστασία των δεδομένων των χρηστών σε κλίμακα Google. Σήμερα προσφέρουμε το OSV-SCALIBR κυρίως σαν open source Go library και εργαζόμαστε για την προσθήκη των νέων δυνατοτήτων του στο OSV-Scanner as the primary CLI interface.”
