「OSV-Scanner」の主な特徴

使用法

■概要

「OSV-Scanner」は、プロジェクトで使用されている「依存関係とバージョンのリスト」を収集した後に、「OSV.dev API」を介してOSVデータベースと照合します。

■ディレクトリスキャン

■対象ディレクトリに対して以下を検索
・ロックファイル
・SBOM
・最新コミットハッシュの「gitディレクトリ」

■サブディレクトリの再帰的ウォークスルーも可能

■SBOM を入力

・パッケージURLを使用した「SPDX」および「CycloneDX SBOM」をサポート
・形式は「入力ファイルの内容」に基づいて自動検出

■ロックファイルを入力

・幅広いロックファイルをサポート

脆弱性無視設定

・IDで無視する脆弱性を設定
・必要に応じて「有効期限」または「理由」を登録

JSON出力機能

・「--json」フラグを使用する
・JSON出力のみが「stdout」に出力
・他のすべての出力は「stderr」に出力
・ファイル保存「osv-scanner --json ... > /path/to/file.json」

参考サイト
→osv.dev
→github.com　→google/osv-scanner
→security.googleblog.com　→「Announcing OSV-Scanner: Vulnerability Scanner for Open Source」