Google запустил свою базу уязвимостей. Чисто технически можно | Бесконечное ИТ

Google запустил свою базу уязвимостей. Чисто технически можно встроить в свой pipeline. Хороша альтернатива платным решениям.
Вы ему версию вашего OSS пакета/пакетов. А он вам на выходе список уязвимостей.

curl -X POST -d \
'{"version": "1.0.0", "package": {"name": "foo", "ecosystem": "bar"}}' \
"https://api.osv.dev/v1/query?key=$API_KEY"

Пока есть следующие ограничения:
There is a rate limit of 100 requests/min.
This is currently filled with vulnerabilities found by OSS-Fuzz (mostly C/C++ projects)

Готовых оберток пока не нашел.

https://github.com/google/osv