GoogleがOSV-Scanner V2をリリース：オープンソース脆弱性管理の新時代

GoogleオープンソースセキュリティチームがOSV-Scanner V2.0.0を発表

GoogleのオープンソースセキュリティチームのRex PanとXueqin Cuiは、OSV-Scanner V2.0.0の一般提供開始を発表しました。このメジャーバージョンアップでは、OSV-SCALIBRの機能を統合し、依存関係の抽出、コンテナスキャン、修復ワークフローを複数のエコシステムにわたって強化しています。

OSV-Scanner V2の主な強化点

OSV-Scanner V2は、2022年12月にリリースされた前バージョンと、今年初めにオープンソース化されたOSV-SCALIBRの基盤を活かし、脆弱性検出と修復のための統合ツールとして進化しました。このアップデートでは、以下の3つのコア機能が強化されています。

1. OSV-SCALIBRによる依存関係抽出の強化

OSV-Scannerは、OSV-SCALIBRライブラリの公式CLIとして機能するようになり、以下のサポートが拡充されました。

• ソースマニフェストおよびロックファイル：
  • .NET (deps.json)
  • Python (uv.lock)
  • JavaScript (bun.lock)
  • Haskell (cabal.project.freeze, stack.yaml.lock)
• アーティファクト：
  • Nodeモジュール、Pythonホイール、Java uber JAR、Goバイナリ

2. レイヤー認識型コンテナスキャン

このツールは、Debian、Ubuntu、Alpineのコンテナイメージに対して、レイヤー認識型の包括的スキャンを提供します。

• パッケージが導入されたレイヤーの特定
• レイヤー履歴とコマンドの追跡
• ベースイメージの検出（deps.dev APIを使用）
• OS/ディストリビューションのフィンガープリント
• 影響のない脆弱性のフィルタリング

サポート対象エコシステム：

• ディストリビューション：Alpine、Debian、Ubuntu
• 言語：Go、Java、Node.js、Python

3. インタラクティブHTML出力とガイド付き修復

• HTMLレポートには以下が含まれます：
  • 深刻度別の分類とフィルタリング
  • パッケージ/IDベースの脆弱性分離
  • コンテナ向けのレイヤー固有のインサイト
• ガイド付き修復（従来はnpmのみ対応）が**Maven pom.xml**に対応し、以下が可能になりました：
  • 直接および推移的依存関係のアップデート
  • 依存関係管理のオーバーライド
  • プライベートレジストリとの統合
  • ワークフロー自動化のための機械可読出力

ロードマップと今後の展開

Googleは、今後の取り組みとして以下の項目を挙げています：

• OSV-SCALIBRの統合：OSV-SCALIBRの全機能をOSV-ScannerのCLIに完全統合
• エコシステムの拡充：ガイド付き修復の対応言語拡大とロックファイルの互換性強化
• フルファイルシステムのアカウンタビリティ：コンテナイメージ内のサイドロードバイナリの追跡
• 到達可能性分析：脆弱性の影響評価の深化
• VEXサポート：Vulnerability Exchange（VEX）標準の採用によるコラボレーション強化

導入方法

OSV-Scanner V2は、GitHubからダウンロード可能です。このツールは、OSV.dev脆弱性データベースを含む、Googleのオープンソースセキュリティエコシステムの一部として提供されています。

セキュリティチームにとって、このアップデートはコンテナセキュリティと推移的依存関係管理における長年の課題に対応し、HTML出力フォーマットにより、開発者や監査担当者にとっての実用性が向上しています。