OSV-Scanner 是 Go 实现的命令行形式的漏洞扫描工具,也是为 OSV 数据库提供官方支持的前端,开发者使用该工具可检查开源项目的依赖项是否存在漏洞。
OSV 是一个开源漏洞数据库。对于开发者来说,OSV 的自动化功能有助于减轻分类负担,每个漏洞都会经过自动分析,以确定受影响的提交和版本范围。
OSV-Scanner 会收集项目中使用的依赖项和版本列表,然后通过 OSV.dev API 将此列表与 OSV 数据库进行匹配。如需构建依赖项列表,可以将 OSV-Scanner 指向项目目录,或手动将路径传递到各个清单文件。
根据官方介绍,与闭源漏洞数据库和扫描器相比,OSV-Scanner 主要有以下优势:
-
每个咨询都有一个开放和权威的来源(例如 RustSec 咨询数据库)
-
任何人都可以对咨询提出改进建议,从而得到一个超高质量的数据库
-
OSV 格式以机器可读的格式明确存储受影响版本的信息,并精确映射到开发人员的软件包列表上
-
更少、更可操作的漏洞通知,减少企业解决漏洞所需的时间
评论