「OSV-Scanner」は、プロジェクトで使用されている「依存関係とバージョンのリスト」を収集した後に、「OSV.dev API」を介してOSVデータベースと照合します。
■対象ディレクトリに対して以下を検索
・ロックファイル
・SBOM
・最新コミットハッシュの「gitディレクトリ」
■サブディレクトリの再帰的ウォークスルーも可能
・パッケージURLを使用した「SPDX」および「CycloneDX SBOM」をサポート
・形式は「入力ファイルの内容」に基づいて自動検出
・幅広いロックファイルをサポート
・IDで無視する脆弱性を設定
・必要に応じて「有効期限」または「理由」を登録
・「--json」フラグを使用する
・JSON出力のみが「stdout」に出力
・他のすべての出力は「stderr」に出力
・ファイル保存「osv-scanner --json ... > /path/to/file.json」
参考サイト
→osv.dev
→github.com →google/osv-scanner
→security.googleblog.com →「Announcing OSV-Scanner: Vulnerability Scanner for Open Source」
OSS×Cloud ACCESS RANKING