マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

OSS情報

2020.01.01

【OSS情報アーカイブ】OSV-Scanner

【OSS情報アーカイブ】OSV-Scanner

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「OSV-Scanner」とは

「OSV-Scanner」とは

「OSV-Scanner」(OSVスキャナー)とは、Google製「脆弱性スキャナー」です。

「プロジェクト依存関係リスト」と「既知脆弱性」を照合するための「OSVデータベースへのフロントエンド」を提供します。

パッケージリストに対して詳細チェックを実施することで、パッチ適用の必要性情報を得られます。

OSVデータベース

■「OSVデータベース」とは

・オープンソース向けの分散型脆弱性データベース
・脆弱性情報を登録および使用できる
・オープンかつ正確な分散型アプローチで運用

→osv.dev

■OSVスキーマ

・脆弱性を記述
・オープンソースの「パッケージ バージョン」または「コミット ハッシュ」に正確にマッピング
・人間と機械が読み取り可能なデータ形式を提供

■オープンソースの利点

・各アドバイザリはオープンで信頼できるソースから提供 :RustSecアドバイザリデータベース など
・誰でもアドバイザリの改善を提案可能
・非常に高品質かつ実用的なデータベースが作成される
・問題解決に必要な時間を短縮

オフィシャルサイト情報

■オフィシャルサイト

→osv.dev

■GitHub

→github.com →google/osv-scanner

■ライセンス情報

OSV-Scannerのライセンスは「Apache License 2.0」です。

詳細について、こちらを参照ください。
→github.com →google/osv-scanner →LICENSE

■インストール

→github.com →google/osv-scanner [→#installing]

■ダウンロード

「Linux」「macOS」「Windows」用のSLSA3準拠バイナリが提供されています。

→github.com →google/osv-scanner →releases

同様製品

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品:「Vuls」「DetExploit」など。

使用法

■概要

「OSV-Scanner」は、プロジェクトで使用されている「依存関係とバージョンのリスト」を収集した後に、「OSV.dev API」を介してOSVデータベースと照合します。

■ディレクトリスキャン

■対象ディレクトリに対して以下を検索
・ロックファイル
・SBOM
・最新コミットハッシュの「gitディレクトリ」

■サブディレクトリの再帰的ウォークスルーも可能

■SBOM を入力

・パッケージURLを使用した「SPDX」および「CycloneDX SBOM」をサポート
・形式は「入力ファイルの内容」に基づいて自動検出

■ロックファイルを入力

・幅広いロックファイルをサポート

脆弱性無視設定

・IDで無視する脆弱性を設定
・必要に応じて「有効期限」または「理由」を登録

JSON出力機能

・「–json」フラグを使用する
・JSON出力のみが「stdout」に出力
・他のすべての出力は「stderr」に出力
・ファイル保存「osv-scanner –json … > /path/to/file.json」

参考サイト
→osv.dev
→github.com →google/osv-scanner
→security.googleblog.com →「Announcing OSV-Scanner: Vulnerability Scanner for Open Source」

この記事のタグ一覧

おすすめの記事

経営活動に活用できる 原価管理 を実現するには? 〜製造業の現実的な課題に向き合い、現場視点から改善する原価管理手法の必達プロセスをご紹介〜

ウェビナーまとめ

2024.05.15

経営活動に活用できる 原価管理 を実現するには? 〜製造業の現実的な課題に向き合い、現場視点から改善する原価管理手法の必達プロセスをご紹介〜

2024年3月12日に三菱電機ITソリューションズ株式会社とアットストリームパートナーズ合同会社の共催で、組立加工製造業向けのセミナー「なぜか高くなる原価を管理する 不確実性の時代を乗り切るためのコスト戦略とは」が開催されました。本セミナーでは、製造業における原価管理の現状と改善手法について深く掘り下げ、経営活動への具体的な活用方法を提示しました。今回は、その講演の要点をお伝えします。

【トレンド解説】米国における「 生成AI活用 」最新動向📈

トレンド解説

2024.05.07

【トレンド解説】米国における「 生成AI活用 」最新動向📈

「米国における 生成AI活用 最新動向」について解説しています。生成AIは日本企業にも多くの可能性をもたらし、「デスクワークの効率化」や「業務の自動化推進」に貢献しています。生成AIを理解し、活用することが、グローバルな競争力を高める鍵となります。

【ChatGPT探訪】「 無限議論 」〜最強スタンド考察〜🤔

ChatGPT探訪

2024.05.07

【ChatGPT探訪】「 無限議論 」〜最強スタンド考察〜🤔

マジセミSNSに投稿した 【担当者A】の「 無限議論 」〜最強スタンド考察〜💬 を記事化したものです。 ChatGPTに課金していないみなさんにも、 AI同士の議論をお楽しみいただけます👍 ※原稿テキストを放り込むだけで、 ジョジョ風イラストを作成してしまう生成AIがすごくないですか?