Google Releases Major Update for Open Source Vulnerability Scanner
2025/03/18 SecurityWeek — 3月18日 (火) に Google が発表したのは、OSS 開発者向けに無料で提供される、脆弱性スキャナー OSV-Scanner のアップデート版のリリースである。2021 年に立ち上げられた OSS 脆弱性データベースのフロントエンドとして、2022 年に導入された OSV-Scanner は、開発者が詳細なバグレポートを提供することで、OSS エコシステムのセキュリティを向上させるものだ。
このスキャナーの新バージョンは、今年の初めに導入された機能 OSV-SCALIBR (Software Composition Analysis LIBRary) をベースにして、 ソフトウェア・インベントリ情報を抽出する、拡張可能なファイル・システム・スキャナーである。つまり、OSV-Scanner V2.0.0 は、OSV-SCALIBR の機能を統合する、OSS ライブラリの公式コマンドライン・コードおよびコンテナ・スキャン・ツールとなる。
Google は、「この V2 リリースは、OSV-SCALIBR で築いた基盤の上に構築され、OSV-Scanner に重要な新機能を追加し、幅広いフォーマットとエコシステムをサポートする、包括的な脆弱性スキャナーおよび修復ツールとなる」と述べている。
この統合により、スキャナーはプロジェクトから、ソース・マニフェストとロック・ファイル (.NET: deps.json/Python: uv.lock/JavaScript: bun.lock/Haskell: cabal.project.freeze/stack.yaml.lock を含む) および、アーティファクト (Node modules/Python wheels/Java uber jars/Go binaries など) を抽出できるようになる。
また、Alpine/Debian/Ubuntu コンテナ・イメージの、レイヤー認識スキャンも含まれており、レイヤーの履歴とコマンド/パッケージが導入されたレイヤー/ベース・イメージ/コンテナが実行する OS とディストリビューション/コンテナ・イメージに影響を及ぼす可能性が低い脆弱性などの詳細が提供されるという。
OSV-Scanner V2.0.0 に付属する、最新のインタラクティブ・ローカル HTML 出力形式により、欠陥アドバイザリ/重大度の内訳/パッケージ/ID/脆弱性の重要度のフィルタリングなどの、スキャン情報が提供されるという。
さらに、このスキャナーには、直接依存関係と推移依存関係によりセキュリティ欠陥に対処するための、Maven のガイド付き修復サポートが含まれるようになった。それにより、pom.xml ファイルの Read/Write/メタデータを取得するためのプライベート・レジストリの指定/pom.xml 内の依存関係を最新バージョンに更新するためのサポートなどが提供されるという。
Google は、「ガイド付き修復用の、マシン・リーダブルな出力も導入した。それにより、ガイド付き修復をワークフローに簡単に統合できる」とは述べている。
さらに Google は、OSV-SCALIBR 機能を OSV-Scanner の、CLI インターフェイスに統合するという。それにより、エコシステム・サポートの拡張や、コンテナ・イメージ内の全ファイルのアカウンティングのサポートの追加、到達可能性分析の統合、Vulnerability Exchange (VEX) のサポートなどが追加される。
OSV-Scanner V2.0.0 は、OSV-SCALIBR と同様に GitHub で入手できる。Google は、この2つのプロジェクトに対するフィードバックとコントリビューションを歓迎すると述べている。
Google による無料の脆弱性スキャナーである、OSV-Scanner がアップデートされました。今回のアップデートでは、実用的な新機能が多数追加されているようです。今年の後半にも、いくつかのアップデートを予定しているとのことで、今後の進展にも期待が高まりますね。よろしければ、以下の関連記事も、カテゴリ SecTools と併せて、ご参照ください。
2023/02/02:Google の OSS-Fuzz 脆弱性特定プログラムが延長
2022/12/13:OSV-Scanner:OSS の脆弱性を網羅するデータベース
IoT OT Security News 
You must be logged in to post a comment.