2026-02-08 00:39:24 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： OSV-Scanner是Google开源的SLSA3合规漏洞扫描工具，基于OSV.dev数据库，支持通过SBOM解析和依赖遍历检测软件供应链中的CVE/OSV漏洞。工具支持扫描源码目录、锁文件及容器镜像，覆盖npm/Go/Maven等主流生态，可生成HTML可视化报告并集成CI/CD流程。文章详细介绍了Windows环境下的安装配置、环境变量设置及基础使用方法，包括递归扫描、Docker容器扫描和修复建议获取等核心功能。 综合评分： 72 文章分类： 安全工具,漏洞分析,供应链安全,应用安全,安全建设

cover_image

OSV-Scanner：一款专门于发现开源软件漏洞的扫描器

原创

网安武器库网安武器库

网安武器库

2026年2月7日 12:36 湖南

更多干货点击蓝字关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·LingOps（灵控）：AWD/AWDP 竞赛自动化平台

·融合AI引擎的日志应急响应溯源工具SSLogs–详细配置教程与使用方法

·AWD-H1M：AWD攻防竞赛自动化工具箱

·DumpGuard：首个公开绕过Windows Credential Guard的凭据提取工具

·FingerprintHub：识别网站和网络服务背后使用的技术栈

·data-cve-poc：近两年的漏洞CVE-POC合集

介绍

OSV-Scanner 是基于 OSV.dev 漏洞库的 SLSA3 合规工具，通过 SBOM 解析、依赖遍历实现软件供应链的 CVE/OSV 漏洞扫描，支持锁文件、容器镜像等多源输入，输出 CVSS 评分与修复版本映射。

其核心能力包括递归扫描、离线漏洞库同步、HTML 报告可视化，可集成 Pre-Commit 钩子实现 CI/CD 前置风险拦截，覆盖 npm/Go/Maven 等主流包管理生态。

安装

文末链接跳转github,在release界面下载对应文件，也可以直接下载文末百度网盘分享的文件

一般来说windows上下载我框选的这个就可以

下载以后双击只会闪一下，因为没有指定参数。

我们需要把它添加进环境变量，这样就可以直接在命令行调用了

设置搜索编辑系统环境变量，按照图示点击并在path中添加exe文件所在路径，比如说我的是D:\wangan\OSVscanner

，那我就填D:\wangan\OSVscanner

保存以后就可以在全局使用了

随便打开一个命令行窗口输入

osv-scanner_windows_amd64.exe&nbsp;--version

如下所示

使用

OSV-Scanner 核心流程是「提取包信息 → 匹配漏洞库」，支持扫描源码目录、锁文件、容器镜像等。

基础扫描（源码 / 锁文件）

扫描本地目录（递归）

# 基础用法：扫描当前目录所有依赖osv-scanner_windows_amd64.exe scan -r ./# 指定锁文件扫描（如 npm、Go、Maven 等）osv-scanner_windows_amd64.exe -L package-lock.json &nbsp;# npmosv-scanner_windows_amd64.exe -L go.mod &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# Goosv-scanner_windows_amd64.exe scan -L pom.xml &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;# Maven

Docker 容器内扫描

# 挂载当前目录到容器 /src，扫描 go.moddocker run -v&nbsp;${PWD}:/src ghcr.io/google/osv-scanner -L /src/go.mod

容器镜像扫描

# 扫描本地 Docker 镜像（需安装 Docker）osv-scanner_windows_amd64.exe scan image&nbsp;my-docker-img:latest# Docker 方式扫描容器镜像docker run ghcr.io/google/osv-scanner scan image&nbsp;my-docker-img:latest

生成 HTML 报告并本地预览

# 扫描锁文件并在 8000 端口启动 HTML 报告服务osv-scanner_windows_amd64.exe scan -L package-lock.json --serve

访问 http://localhost:8000 即可查看可视化漏洞报告。

修复指引（实验性）

扫描后可通过 fix 子命令获取修复建议：

osv-scanner_windows_amd64.exe fix -M&nbsp;package.json -L&nbsp;package-lock.json

github链接

https://github.com/google/osv-scanner

通过网盘分享的文件：

osv-scanner_windows_amd64.exe

链接:

https://pan.baidu.com/s/12xASVgZZZMidlHZ7VBojWg?pwd=dcvn 提取码: dcvn

–来自百度网盘超级会员v3的分享

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安武器库网安武器库网安武器库《OSV-Scanner：一款专门于发现开源软件漏洞的扫描器》