Google выпустила сканер для поиска уязвимых зависимостей в программах

Компания Google объявила о выпуске бесплатного автоматизированного инструмента для поиска уязвимостей в проектах с открытым исходным кодом - OSV-Scanner. Инструмент выявляет все зависимости программы, затем сравнивает список с информацией об известных уязвимостях, хранящихся в базе данных OSV, и определяет необходимость исправления или обновления.

Сканер написан на языке Go и предоставляет пользовательский интерфейс для доступа к свободной базе данных уязвимостей в проектах с открытым исходным кодом OSV. Инструмент поддерживает Linux, macOS и Windows. Для создания списка зависимостей достаточно указать путь к директории с проектом

В настоящее время платформа OSV.dev поддерживает 16 экосистем, включая популярные языки программирования, дистрибутивы Linux (Debian и Alpine), Android и само ядро Linux. В будущем Google планирует улучшить поддержку языка программирования C/C++ и доработать OSV-Scanner, превратив его в полноценный инструмент управления уязвимостями.