文章总结: 文档介绍Google官方开源的OSV-Scanner工具,能快速扫描项目依赖漏洞。核心优势包括调用分析降低误报、基于OSV.dev数据库覆盖全语言及系统、支持离线模式和引导式修复。支持多种编程语言、容器镜像及CI/CD集成,提供JSON和SARIF输出。文末包含工具获取方式及证书广告。 综合评分: 72 文章分类: 安全工具,供应链安全,产品介绍,漏洞分析,软文广告
Google 官方出品,5 秒扫穿项目依赖漏洞
菜狗 菜狗
只会看监控的实习生
2026年2月22日 08:00 江西
⚡ 30 秒极速上手
# 1. 下载单文件绿色版(Linux/macOS/Windows)
curl -L https://github.com/google/osv-scanner/releases/latest/download/osv-scanner_linux_amd64 -o osv-scanner && chmod +x osv-scanner
# 2. 扫描项目源码(递归)
osv-scanner scan source -r /path/to/your/project
# 3. 扫描容器镜像(分层感知)
osv-scanner scan image ubuntu:22.04
# 4. 离线模式(内网可用)
osv-scanner --offline --download-offline-databases /path/to/your/project
🎯 核心卖点
| 痛点 | OSV-Scanner 解法 | | — | — | | 误报多 | 调用分析 实际确认漏洞函数是否被使用 | | 覆盖少 | OSV.dev 数据库覆盖 Git + 全语言 + Linux 发行版 | | 收费贵 | 完全免费 ,Google 官方维护,BSD-3 许可证 | | 内网难 | 离线模式 ,本地 SQLite 数据库,无需外网 | | 修复难 | 引导式修复 自动建议升级版本,计算 ROI |
编程语言 & 包管理器| 语言 | 锁文件 | 说明 |
| ———- | ———————————– | ———— | | Java | pom.xml | Maven 显式依赖 | | Python | requirements.txt / Pipfile.lock | pip / pipenv | | Go | go.mod / go.sum | Go Modules | | JS/TS | package-lock.json / yarn.lock | npm / yarn | | Rust | Cargo.lock | Cargo | | Ruby | Gemfile.lock | Bundler | | PHP | composer.lock | Composer | | C/C++ | vendor/ 目录 | 自动检测供应商代码 | | R | renv.lock | renv | | Dart | pubspec.lock | Pub | | Elixir | mix.lock | Hex |
操作系统 & 容器
| 类型 | 支持 | 说明 |
| — | — | — |
| Linux 发行版 | Alpine / Debian / Ubuntu | 系统包漏洞扫描 |
| 容器镜像 | Docker / OCI | 分层扫描,基础镜像 + 应用层 |
| Git 仓库 | git 提交记录 | 依赖引入时间线追溯 |
🔍 核心功能详解
- 调用分析(Call Analysis)
osv-scanner scan source --call-analysis=go,python /path/to/project
- 离线模式(Air-Gapped)
osv-scanner --offline --download-offline-databases .
- 许可证扫描(License Scan)
osv-scanner --licenses="MIT,Apache-2.0,BSD-3-Clause" /path/to/dir
- 引导式修复(Guided Fix) – Beta
# npm in-place 修复(改 lock 文件)
osv-scanner fix --strategy=in-place -L package-lock.json
# Maven override(改 pom)
osv-scanner fix --strategy=override -M pom.xml
# 交互模式(推荐)
osv-scanner fix -M package.json -L package-lock.json
📄 输出格式(机器可读)
JSON(标准)
osv-scanner --format=json -r . > report.json
SARIF(GitHub/GitLab/VSCode)
osv-scanner --format=sarif -r . > report.sarif
🏭 CI/CD 集成示例
- name: Install OSV-Scanner
run: go install github.com/google/osv-scanner/v2/cmd/osv-scanner@latest
- name: Run OSV-Scanner
run: osv-scanner -r . --format=sarif > osv-report.sarif
- name: Upload SARIF
uses: github/codeql-action/upload-sarif@v3
with:
sarif_file: osv-report.sarif
GitLab CI
osv-scan:
script:
- go install github.com/google/osv-scanner/v2/cmd/osv-scanner@latest
- osv-scanner -r . --format=sarif > osv-report.sarif
artifacts:
reports:
sast: osv-report.sarif
🔐 OSV.dev 数据库优势
- 全面:覆盖 Git + 全语言 + Linux 发行版, CVE 数量 > 200 万
- 权威:来源 GitHub Advisory、RustSec、Ubuntu Security Notice,每条可溯源
- 开放:任何人可提交改进,质量社区共治
- 精准:机器可读格式,版本范围精确匹配,无“可能受影响”模糊描述
关注回复OSV-Scanner获取
低价出售安全证书不限于cisp、pte等请Vme~建了一个项目群,想进群的请回复进群即可
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:只会看监控的实习生 菜狗 菜狗《Google 官方出品,5 秒扫穿项目依赖漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论