【OSS情報アーカイブ】OSV-Scanner

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「OSV-Scanner」とは

「OSV-Scanner」とは

「OSV-Scanner」(OSVスキャナー)とは、Google製「脆弱性スキャナー」です。

「プロジェクト依存関係リスト」と「既知脆弱性」を照合するための「OSVデータベースへのフロントエンド」を提供します。

パッケージリストに対して詳細チェックを実施することで、パッチ適用の必要性情報を得られます。

OSVデータベース

■「OSVデータベース」とは

・オープンソース向けの分散型脆弱性データベース
・脆弱性情報を登録および使用できる
・オープンかつ正確な分散型アプローチで運用

→osv.dev

■OSVスキーマ

・脆弱性を記述
・オープンソースの「パッケージ バージョン」または「コミット ハッシュ」に正確にマッピング
・人間と機械が読み取り可能なデータ形式を提供

■オープンソースの利点

・各アドバイザリはオープンで信頼できるソースから提供　：RustSecアドバイザリデータベース　など
・誰でもアドバイザリの改善を提案可能
・非常に高品質かつ実用的なデータベースが作成される
・問題解決に必要な時間を短縮

オフィシャルサイト情報

■オフィシャルサイト

→osv.dev

■GitHub

→github.com　→google/osv-scanner

■ライセンス情報

OSV-Scannerのライセンスは「Apache License 2.0」です。

詳細について、こちらを参照ください。
→github.com　→google/osv-scanner　→LICENSE

■インストール

→github.com　→google/osv-scanner　[→#installing]

■ダウンロード

「Linux」「macOS」「Windows」用のSLSA3準拠バイナリが提供されています。

→github.com　→google/osv-scanner　→releases

同様製品

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品：「Vuls」「DetExploit」など。

使用法

■概要

「OSV-Scanner」は、プロジェクトで使用されている「依存関係とバージョンのリスト」を収集した後に、「OSV.dev API」を介してOSVデータベースと照合します。

■ディレクトリスキャン

■対象ディレクトリに対して以下を検索
・ロックファイル
・SBOM
・最新コミットハッシュの「gitディレクトリ」

■サブディレクトリの再帰的ウォークスルーも可能

■SBOM を入力

・パッケージURLを使用した「SPDX」および「CycloneDX SBOM」をサポート
・形式は「入力ファイルの内容」に基づいて自動検出

■ロックファイルを入力

・幅広いロックファイルをサポート

脆弱性無視設定

・IDで無視する脆弱性を設定
・必要に応じて「有効期限」または「理由」を登録

JSON出力機能

・「–json」フラグを使用する
・JSON出力のみが「stdout」に出力
・他のすべての出力は「stderr」に出力
・ファイル保存「osv-scanner –json … > /path/to/file.json」

参考サイト
→osv.dev
→github.com　→google/osv-scanner
→security.googleblog.com　→「Announcing OSV-Scanner: Vulnerability Scanner for Open Source」

この記事のタグ一覧

• OSV-Scanner

  1

• 一覧はこちら
• 次の記事へ