Google, açık kaynak güvenlik açığı tarama aracına büyük bir yükseltme olan OSV-Scanner v2.0.0’ı resmen başlattı.
17 Mart 2025’te piyasaya sürülen bu yeni sürüm, geliştiricilerin yazılım bağımlılıklarındaki güvenlik açıklarını belirlemelerine ve düzeltmelerine yardımcı olmak için önemli bir evrimi temsil ediyor.
V2 sürümü, OSV-Scalibr ile döşenen temel üzerine kurulur ve OSV-tarayıcıyı kapsamlı bir güvenlik açığı tespiti ve iyileştirme platformuna dönüştüren önemli yeni özellikler sunar.
Başlangıçta Aralık 2022’de başlatılan OSV-Scanner, geliştiricilere projelerine ilişkin güvenlik açığı bilgilerine kolay erişim sağlayan açık kaynaklı güvenlik için önemli bir araç haline geldi.
Google Açık Kaynak Güvenlik Ekibi, “Bu V2 sürümü, OSV-Scalibr ile koyduğumuz temeli üzerine inşa ediyor ve OSV-tarayıcıya önemli yeni yetenekler ekleyerek, formatlar ve ekosistemler için geniş desteğe sahip kapsamlı bir güvenlik açığı tarayıcısı ve iyileştirme aracı haline getiriyor” diyor.
V2’de temel yenilikler
OSV-Scanner V2’deki en önemli gelişmeler şunları içerir:
OSV-Scalibr ile Geliştirilmiş Bağımlılık Ekstraksiyonu:
Sürüm, OSV-scalibr özelliklerinin OSV-tarama ile ilk büyük entegrasyonunu temsil eder ve çeşitli bağımlılıklar için desteği önemli ölçüde genişletir.
Desteklenen yeni formatlar şunları içerir:
- .NET: Depp.json
- Python: UV.lock
- JavaScript: Bun.lock
- Haskell: cabal.project.freeze, stack.yaml.lock
- Düğüm modülleri, python jantlar, java uber kavanozları ve go ikili dosyalar dahil olmak üzere çoklu eserler
Katman farkında konteyner taraması
OSV-Scanner V2, Debian, Ubuntu ve Alpine konteyner görüntüleri için kapsamlı tarama sunar:
Bu özellik, paketlerin nereye tanıtıldığını, katman geçmişini, temel görüntü tanımlamasını ve konteyner ortamlarına özgü güvenlik açığı filtrelemesini gösteren katman analizi sunar.
Etkileşimli HTML çıkışı
Yeni HTML rapor formatı, şiddet bozulması, filtreleme seçenekleri ve ayrıntılı güvenlik açığı bilgileri dahil olmak üzere gelişmiş görselleştirme özellikleri sağlar.
Konteyner görüntüleri için, komut aracılığıyla bulunan katman filtreleme ve temel görüntü tanımlama özellikleri ekler:
Bu, güvenlik açığı bilgilerini daha erişilebilir ve eyleme geçirilebilir hale getirir.
Maven için rehberli iyileştirme: NPM paketleri için rehberli iyileştirme özelliğine dayanan V2, bu özelliği artık Maven POM.XML desteği aracılığıyla Java’ya genişletiyor:
Bu, geliştiricilerin doğrudan sürüm güncellemeleri veya bağımlılık yönetimi geçersiz kılmaları yoluyla doğrudan ve geçişli bağımlılık güvenlik açıklarını düzeltmelerine olanak tanır.
Çok sayıda iyileştirme eklerken, OSV-scanner V2, aracı gelecekteki kanıtlamayı amaçlayan kırılma değişikliklerini içerir. Sürüm, mevcut kullanıcılar için sorunsuz bir yükseltme işlemi sağlamak için kapsamlı bir geçiş kılavuzu içerir.
Bazı dikkate değer değişiklikler arasında etkileşimli olmayan modda temerrüde düşen yönlendirme, deney bayrakları kaldırılmasını ve birleştirilmiş lisans bayraklarını içerir.
OSV tarama aracı, kapalı kaynaklı alternatiflere kıyasla önemli faydalar sağlar.
Açık kaynaklı, dağıtılmış bir güvenlik açığı veritabanı olarak OSV, topluluk katkılarıyla geliştirilebilen yüksek kaliteli danışmanlar sunar ve bu da paket bağımlılıklarını doğru bir şekilde eşleştiren hassas, makinede okunabilir güvenlik açığı bilgilerine neden olur.
Çeşitli programlama dillerindeki geliştiriciler artık güvenlik duruşlarını artırmak ve açık kaynaklı bağımlılıklarında kırılganlık iyileştirmesini etkili bir şekilde yönetmek için OSV-Scanner V2’yi kullanabilirler.
OSV-Scanner, resmi GitHub deposundan hemen indirilebilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.