OWASP の CVE Lite CLI: 開発者の端末上でパッケージ依存関係のスキャンを実現

OWASP CVE Lite CLI – New Tool to Scan for Vulnerabilities in Your Projects

2026/06/06 CyberSecurityNews — OWASP Incubator Project として正式に認定された CVE Lite CLI は、開発者の端末上で依存関係セキュリティを実現するために設計された、オープンソースの無料脆弱性スキャナである。OWASP Top 10 を策定した同組織の支援を受け、Sonu Kapoor によりメンテナンスされる CVE Lite CLI は、開発者のセキュリティ・ワークフローにおける長年の課題である「高速で実行できるローカル・ファーストの修復ガイダンスの欠如」に対応するものだ。

OWASP CVE Lite CLI ツール

多くのセキュリティ・スキャナは、開発者向けではなく、パイプライン向けに設計されている。Dependabot のようなツールは Pull Request を作成するが、開発者の対応は後回しになりがちである。CI スキャナはコードレビュー後にマージをブロックし、セキュリティ・ダッシュボードは解決方法が不明確な CVE ID の一覧を提示するだけである。その結果、アラート疲労が発生し、開発者はノイズを無視するようになる。

それらとは異なるアプローチを採用するのが、CVE Lite CLI である。開発者がコードを push する直前に実行され、単なる脆弱性一覧ではなく、具体的な修復計画を生成する。OWASP は「依存関係セキュリティを、CI チェックやエンタープライズ専用の課題ではなく、日常的な開発ワークフローの一部にすることが目的だ」と述べている。

CVE Lite CLI はプロジェクトの lockfile をローカルで読み取り、Open Source Vulnerabilities (OSV) データベースを照会してアドバイザリ情報を取得する。npm/pnpm/Yarn/Bun の4つの主要 JavaScript パッケージ・マネージャに対応し、使用中の環境に応じて実行できるインストール・コマンドを生成する。

重要な点として、ソースコード/依存関係ツリー/認証情報は、いずれも外部へ送信されない。

OWASP CVE Lite CLI Tool

このツールは、直接の依存関係と推移的な依存関係を区別する。この点は多くの無料スキャナにおいて見落とされている。推移的な依存関係に対しては、npm update <parent> による解決可否や、親パッケージのメジャー・アップデートが必要かどうかまで判定する。

主な機能は以下の通りである。

  • 修復優先出力:各検出結果に対して、単なる CVE ID に留まることなく、実行可能な修正コマンドを提示。
  • 使用状況ベース到達性分析 (–usage):静的解析により実際に import されているかどうかを検出し、誤検知を削減。
  • オフライン・アドバイザリ DB:約217,065件のアドバイザリを 9秒未満で同期可能。
  • インタラクティブ HTML レポート (–report):検索可能な結果テーブルと、コピー可能な修復コマンドを含むダッシュボードを生成。
  • 自動修正モード (–fix):直接的な依存関係の修正を適用後、自動再スキャンを実施。
  • CI/CD 統合:–fail-on high/–sarif/–cdx によりポリシー適用/SARIF 出力/SBOM 生成に対応。
  • AI アシスタント統合 (install-skill):Claude Code/Codex CLI/Gemini CLI/Cursor/GitHub Copilot 向けに Skill ファイルを生成。

このツールは GitHub から取得が可能であり、インストールは単一コマンドで完了する。アカウント登録や設定は不要であり、データは外部送信されない。

npm install -g cve-lite-cli
cve-lite /path/to/project

または・・・

npx cve-lite-cli /path/to/project

実際のスキャン例では、1,620件の依存関係から 39件の脆弱なパッケージが検出され、そのうち 3件が重大であった。それらには、jsonwebtoken@0.1.0 (推移的依存、express-jwt 更新で修正) や marsdb@0.6.11 (直接依存) などが含まれ、即時実行可能な優先修正コマンドが提示される。

OWASP Incubator Project としての採択が示すのは、このツールがセキュリティ専門家によるレビューを受け、ベンダー・ニュートラルかつコミュニティ主導のガバナンスで運用されていることである。

このツールは、OWASP Juice Shop/Visual Studio Code/NestJS/Ghost CMS/Gatsby/Storybook/Vercel AI SDK などの実コードベースで検証されており、実際の脆弱性検出結果が記録されている。

ランタイム依存は yaml/yarn-lockfile/better-sqlite3/fflate の 4つに限定されており、監査可能性と軽量性を重視した設計となっている。

訳者後書:オープンソースのセキュリティ・スキャナ CVE Lite CLI が、OWASP のプロジェクトになりました。開発現場における問題の原因は、多くのツールが開発者に対してではなく、自動化されたパイプライン向けに設計されていたことにあります。そのため、具体的な解決方法が分からないまま CVE ID の一覧だけが提示され、開発者がアラートの多さに疲れてしまう状況が生まれていました。その点、今回 OWASP プロジェクトに採択された CVE Lite CLI は、開発者のローカル環境で迅速かつ具体的な修復計画を提示してくれる極めて実用的なツールです。依存関係セキュリティのノイズやアラート疲労に悩まされているチームにとって有用と思われます。よろしければ、カテゴリー SecTools も、ご参照ください。