谷歌近日正式發(fā)布了OSV-Scanner V2.0.0版本，這是其開源漏洞掃描工具的重大升級。該版本于2025年3月17日發(fā)布，標(biāo)志著它在幫助開發(fā)者識別和修復(fù)軟件依賴項中安全漏洞的能力取得了顯著進(jìn)展。

V2版本在OSV-SCALIBR的基礎(chǔ)上進(jìn)行了升級，引入了大量新功能，使OSV-Scanner轉(zhuǎn)型為一個全面的漏洞檢測和修復(fù)平臺。自2022年12月首次發(fā)布以來，OSV-Scanner已經(jīng)成為開源安全領(lǐng)域的重要工具，幫助開發(fā)者輕松獲取與其項目相關(guān)的漏洞信息。

谷歌開源安全團(tuán)隊表示：“V2版本在OSV-SCALIBR的基礎(chǔ)上構(gòu)建，并為OSV-Scanner添加了重要的新功能，使其成為一個支持多種格式和生態(tài)系統(tǒng)的全面漏洞掃描和修復(fù)工具。”

V2版本的關(guān)鍵創(chuàng)新

OSV-Scanner V2的重大改進(jìn)主要包括以下幾個方面：

(1) OSV-SCALIBR增強(qiáng)的依賴項提取功能

這是OSV-SCALIBR功能首次大規(guī)模集成到OSV-Scanner中，顯著擴(kuò)展了對各類依賴項的支持。新增支持的格式包括：

• .NET: deps.json
• Python: uv.lock
• JavaScript: bun.lock
• Haskell: cabal.project.freeze, stack.yaml.lock
• 多種構(gòu)件，包括Node模塊、Python輪子、Java uber jars和Go二進(jìn)制文件

(2) 容器鏡像的層級感知掃描

OSV-Scanner V2引入了對Debian、Ubuntu和Alpine容器鏡像的全面掃描功能，提供了以下特性：

此功能提供了層級分析，顯示軟件包的引入位置、層級歷史、基礎(chǔ)鏡像識別以及針對容器環(huán)境的漏洞過濾。

(3) 交互式HTML輸出

新的HTML報告格式增強(qiáng)了可視化能力，包括嚴(yán)重性分類、篩選選項以及詳細(xì)的漏洞信息。對于容器鏡像，它還添加了層級過濾和基礎(chǔ)鏡像識別功能，可通過以下命令使用：

這使得漏洞信息更易于訪問和操作。

容器鏡像掃描的HTML輸出

(4) Maven的引導(dǎo)式修復(fù)功能

在npm包的引導(dǎo)式修復(fù)功能基礎(chǔ)上，V2版本現(xiàn)在通過支持Maven的pom.xml文件，擴(kuò)展了對Java的引導(dǎo)式修復(fù)能力：

這使得開發(fā)者可以通過直接版本更新或依賴管理覆蓋來修復(fù)直接和傳遞性依賴的漏洞。

其他改進(jìn)與兼容性

OSV-Scanner V2在引入眾多改進(jìn)的同時，也包含了一些旨在為未來鋪路的破壞性更改。該版本提供了一個全面的遷移指南，以確?，F(xiàn)有用戶的平滑升級。一些顯著的變化包括引導(dǎo)式修復(fù)默認(rèn)為非交互模式、刪除了實驗性標(biāo)志以及合并了許可證標(biāo)志。

與閉源解決方案相比，OSV-Scanner工具具有顯著的優(yōu)勢。作為一個開源的分布式漏洞數(shù)據(jù)庫，OSV提供高質(zhì)量的漏洞公告，且社區(qū)貢獻(xiàn)可以進(jìn)一步改進(jìn)這些公告，從而生成精確且機(jī)器可讀的漏洞信息，能夠準(zhǔn)確映射到軟件包依賴項。

現(xiàn)在，使用各種編程語言的開發(fā)者都可以利用OSV-Scanner V2來增強(qiáng)其安全性，并高效管理其開源依賴項中的漏洞修復(fù)工作。OSV-Scanner現(xiàn)已可從官方GitHub倉庫立即下載。