OSV-Scanner 2.0: безопасность открытого кода выходит на новый уровень

Google объявила о выпуске обновлённой версии OSV-Scanner — бесплатного инструмента для поиска уязвимостей в открытом исходном коде. Изначально представленный в 2022 году как интерфейс для базы данных уязвимостей с открытым исходным кодом, OSV-Scanner помогал разработчикам получать детализированные отчёты об ошибках и повышать безопасность экосистемы Open Source.

Новая версия, OSV-Scanner V2.0.0 , расширяет эти возможности за счёт интеграции с OSV-SCALIBR — библиотекой для анализа состава программного обеспечения.

Теперь OSV-Scanner может извлекать информацию из манифестов и файлов блокировки исходного кода, таких как deps.json для .NET, uv.lock для Python, bun.lock для JavaScript и cabal.project.freeze для Haskell. Также поддерживается анализ артефактов, включая модули Node, пакеты Python, Uber JAR-файлы Java и бинарные файлы Go.

Инструмент получил поддержку анализа контейнерных образов Alpine, Debian и Ubuntu, включая историю слоёв, команды сборки, идентификацию базового образа и выявление уязвимостей, которые могут не затрагивать контейнер напрямую.

OSV-Scanner V2.0.0 также предлагает новый формат интерактивного вывода в локальный HTML-файл, отображающий рекомендации по устранению уязвимостей, детализацию критичности найденных проблем и фильтрацию по пакетам и их важности.

Добавлена поддержка автоматического исправления уязвимостей для Maven, включая обновление зависимостей в pom.xml и работу с приватными реестрами. Для разработчиков также доступен машинный формат вывода, что упрощает интеграцию сканера в CI/CD-процессы.

В будущем Google планирует расширить поддержку новых экосистем, добавить анализ всех файлов в контейнерном образе, интегрировать анализ достижимости уязвимостей и поддержку стандарта VEX (Vulnerability Exchange). OSV-Scanner V2.0.0 уже доступен на GitHub, а Google приглашает разработчиков к участию в его развитии.