OSV-Scanner là một công cụ nguồn mở mới của Google nhằm cung cấp cho các nhà phát triển nguồn mở quyền truy cập vào dữ liệu có thể hỗ trợ họ kiểm soát mọi lỗ hổng có thể làm hỏng dự án của họ. OSV-Scanner dựa trên dịch vụ OSV.dev, một công cụ do Google phát triển vào năm 2021.
Dịch vụ OSV.dev là một cơ sở dữ liệu về lỗ hổng nguồn mở được phân phối, tổng hợp các hệ sinh thái nguồn mở và các lỗ hổng vào một vị trí duy nhất và định dạng mà máy có thể đọc được. Nỗ lực này rất đáng kể vì việc kết hợp các lỗ hổng nguồn mở và cơ sở dữ liệu theo cách này đã được chứng minh là khó khăn do thực tế là mỗi loại có định dạng riêng. Vào tháng 6 năm ngoái, Google đã mô tả động thái này như sau:
“Với lược đồ này, chúng tôi muốn cung cấp một định dạng có thể được xuất bởi bất kỳ cơ sở dữ liệu dễ bị tấn công nào. Định dạng được chuẩn hóa cho phép cơ sở dữ liệu dễ bị tấn công, người dùng nguồn mở và nhà nghiên cứu bảo mật giao tiếp và sử dụng các lỗ hổng trên tất cả nguồn mở một cách tương đối dễ dàng. Điều này có nghĩa là mọi người sẽ có một bức tranh toàn diện hơn về các lỗ hổng mã nguồn mở, cũng như các khung thời gian phát hiện và sửa chữa ngắn hơn nhờ quá trình tự động hóa dễ dàng hơn.”
Công cụ OSV-Scanner mới được phát hành là bước tiếp theo trong lộ trình này, vì nó cung cấp cái mà Google gọi là “giao diện người dùng được hỗ trợ chính thức cho cơ sở dữ liệu OSV”. Như đã chỉ ra trước đây, số lượng lớn và nhiều định dạng rất khó tập hợp và chúng cũng khó theo dõi. Công việc của chúng tôi yêu cầu phải được tự động hóa, đó là lý do tại sao công cụ quét mới này xuất hiện:
“OSV-Scanner tạo ra thông tin về lỗ hổng chất lượng cao, đáng tin cậy giúp thu hẹp khoảng cách giữa danh sách các gói của nhà phát triển và thông tin cơ sở dữ liệu về lỗ hổng.”
Cơ sở dữ liệu OSV.dev có khoảng 38.000 lời khuyên, theo bài viết trên blog của Google thông báo về trình quét OSV mới. Trước đó một năm, chỉ có 15.000 lời khuyên.