google

osv-scanner

Security#Vulnerability Scanning#Dependency Management#DevSecOps#Container Security

// 概要

OSV-Scanner は、OSV.dev データベースを活用してプロジェクトの依存関係と既知の脆弱性を照合するコマンドラインツールです。幅広い言語、パッケージマネージャー、コンテナイメージに対応しており、正確で実用的なセキュリティ情報を提供します。また、ガイド付きの修正機能やライセンススキャン機能により、開発者が効率的にソフトウェアプロジェクトを管理・保護できるよう支援します。

// 技術解説

OSV-Scanner は、 OSV.dev データベースおよび OSV-Scalibr ライブラリの公式フロントエンドとして機能し、プロジェクトの依存関係における脆弱性を特定するために設計されたセキュリティツールです。このツールは、多数の言語やエコシステムにわたる信頼性の高い機械可読な脆弱性データとプロジェクトの依存関係リストを照合することで、オープンソースのセキュリティ管理という課題に対処します。本プロジェクトは正確性と実用的な洞察を優先しており、誤検知を減らすための call analysis や、パッチ適用プロセスを効率化する guided remediation などの機能を提供します。

// 主要ハイライト

C/C++、 Go、 Java、 Python、 Rust を含む幅広い言語やパッケージマネージャーをサポートし、現代の開発スタック全体で包括的なカバレッジを確保します。

レイヤーを認識したコンテナイメージスキャンを提供し、ベースイメージおよびインストール済みの OS レベルや言語固有のパッケージ内の脆弱性を検出します。

脆弱なコードが実際に実行されているかを判断する call analysis 機能を備えており、誤検知や開発者のアラート疲れを大幅に軽減します。

深刻度、依存関係の深さ、修正戦略に基づいて特定のバージョンアップグレードを提案する guided remediation 機能を提供し、セキュリティメンテナンスを簡素化します。

カスタムの許可リストに基づいたライセンススキャンを可能にし、チームがプロジェクト固有の法的要件へのコンプライアンスを維持できるよう支援します。

ローカルデータベースに対するセキュリティチェックを可能にするオフラインスキャンモードをサポートしており、エアギャップ環境や制限されたネットワーク環境でも機能します。

// ユースケース

ソースディレクトリを再帰的にスキャンし、脆弱性のある依存関係を特定する

OS パッケージや言語アーティファクトを対象とした包括的なコンテナイメージスキャン

パッケージのバージョンアップを提案し、適用を支援するガイド付き修正機能

// クイックスタート

OSV-Scanner を使い始めるには、公式の GitHub releases ページからプラットフォーム用のビルド済みバイナリをダウンロードするか、 'go install github.com/google/osv-scanner/v2/cmd/osv-scanner@latest' を使用してソースからインストールしてください。インストール後、 'osv-scanner scan source -r /path/to/your/dir' を実行してプロジェクトディレクトリの再帰的なスキャンを行うことで、既存の脆弱性を特定できます。