google
osv-scanner
Security#Vulnerability Scanning#Dependency Management#DevSecOps#Container Security
前往 GitHub → 74
// 项目简介
OSV-Scanner 是一款命令行工具,利用全面的 OSV.dev 数据库将项目依赖项与已知漏洞进行关联。它支持多种编程语言、包管理器和容器镜像,旨在提供准确且可操作的安全见解。该工具还具备引导式修复和许可证扫描功能,帮助开发人员高效管理并保护其软件项目。
// 技术分析
OSV-Scanner 是一款安全工具,旨在通过充当 OSV.dev 数据库和 OSV-Scalibr 库的官方前端,识别项目依赖项中的漏洞。它通过将项目的依赖列表与跨多种语言和生态系统的权威、机器可读的漏洞数据进行映射,解决了管理开源安全性的挑战。该项目优先考虑准确性和可操作的见解,提供诸如调用分析(call analysis)以减少误报,以及引导式修复(guided remediation)以简化补丁流程等功能。
// 核心亮点
01
支持多种语言和包管理器,包括 C/C++、Go、Java、Python 和 Rust,以确保对现代开发技术栈的全面覆盖。
02
提供层感知(layer-aware)容器镜像扫描,以检测基础镜像以及已安装的操作系统级或特定语言包中的漏洞。
03
包含调用分析功能,可确定易受攻击的代码是否正在被实际执行,从而显著减少误报和开发人员的警报疲劳。
04
提供引导式修复功能,根据严重程度、依赖深度和修复策略建议具体的版本升级,以简化安全维护。
05
支持针对自定义允许列表(allow-lists)进行许可证扫描,帮助团队保持对项目特定法律要求的合规性。
06
支持离线扫描模式,允许针对本地数据库进行安全检查,确保在物理隔离或受限网络环境中也能正常工作。
// 典型使用场景
01
递归扫描源代码目录以识别存在漏洞的依赖项
02
针对操作系统包和语言构件进行全面的容器镜像扫描
03
提供引导式修复建议并协助应用软件包版本升级
// 快速开始
要开始使用 OSV-Scanner,请从官方 GitHub 发布页面下载适用于您平台的预构建二进制文件,或使用 'go install github.com/google/osv-scanner/v2/cmd/osv-scanner@latest' 从源代码安装。安装完成后,您可以通过运行 'osv-scanner scan source -r /path/to/your/dir' 对项目目录执行递归扫描,以识别现有漏洞。