「OSV-Scanner」(OSVスキャナー)とは、Google製「脆弱性スキャナー」です。
「プロジェクト依存関係リスト」と「既知脆弱性」を照合するための「OSVデータベースへのフロントエンド」を提供します。
パッケージリストに対して詳細チェックを実施することで、パッチ適用の必要性情報を得られます。
・オープンソース向けの分散型脆弱性データベース
・脆弱性情報を登録および使用できる
・オープンかつ正確な分散型アプローチで運用
・脆弱性を記述
・オープンソースの「パッケージ バージョン」または「コミット ハッシュ」に正確にマッピング
・人間と機械が読み取り可能なデータ形式を提供
・各アドバイザリはオープンで信頼できるソースから提供 :RustSecアドバイザリデータベース など
・誰でもアドバイザリの改善を提案可能
・非常に高品質かつ実用的なデータベースが作成される
・問題解決に必要な時間を短縮
→github.com →google/osv-scanner
OSV-Scannerのライセンスは「Apache License 2.0」です。
詳細について、こちらを参照ください。
→github.com →google/osv-scanner →LICENSE
→github.com →google/osv-scanner [→#installing]
「Linux」「macOS」「Windows」用のSLSA3準拠バイナリが提供されています。
→github.com →google/osv-scanner →releases
同様な機能を提供する製品として、次のようなものがあります。
オープンソース製品:「Vuls」「DetExploit」など。
OSS×Cloud ACCESS RANKING