“OSV.dev memungkinkan semua ekosistem sumber terbuka dan basis data kerentanan yang berbeda untuk menerbitkan dan menggunakan informasi dalam satu format yang sederhana, tepat, dan dapat dibaca mesin,” jelas Rex Pan, seorang insinyur perangkat lunak di Tim Keamanan Sumber Terbuka Google.
“Secara keseluruhan OSV.dev sekarang mendukung 16 ekosistem, termasuk semua ekosistem bahasa utama, distribusi Linux (Debian dan Alpine), serta Android, Kernel Linux, dan OSS-Fuzz. Ini berarti database OSV.dev sekarang menjadi database kerentanan sumber terbuka terbesar dari jenisnya, dengan total lebih dari 38.000 penasihat dari 15.000 penasihat setahun yang lalu.”
OSV-Scanner berfungsi sebagai frontend ke database OSV.dev.
Pertama melalui file kunci proyek (file yang menyimpan informasi grafik dependensi), SBOM, dan direktori git untuk hash komit terbaru, kemudian mencantumkan dependensi transitif dan versi yang digunakan dalam proyek pengembang, dan terakhir membandingkan daftar tersebut dengan OSV basis data (melalui API OSV.dev).
OSV-Scanner dapat diinstal di Linux, macOS atau Windows. Itu juga telah terintegrasi dalam pemeriksaan Kerentanan OpenSSF Scorecard.
“Untuk membuat daftar dependensi, Anda dapat mengarahkan OSV-Scanner ke direktori proyek Anda, atau secara manual meneruskan jalur ke file manifes individual,” kata Google. Alat ini dapat dikonfigurasi untuk mengabaikan kerentanan tertentu.
Google berencana untuk mengubah OSV-Scanner menjadi alat manajemen kerentanan lengkap dengan mengintegrasikan lebih jauh dengan alur kerja pengembang (melalui tindakan CI mandiri), menambahkan fitur seperti remediasi otomatis kerentanan dengan membuat peningkatan versi minimal, dan dengan meningkatkan dukungan kerentanan C/C++ .