研究低
谷歌发布 OSV-Scanner V2:先进的开源漏洞管理工具
1分钟阅读来源: Google Security Blog
谷歌开源安全团队推出 OSV-Scanner V2.0.0,集成 OSV-SCALIBR 功能,增强依赖提取、容器扫描及修复流程,覆盖多生态系统。
谷歌开源安全团队发布 OSV-Scanner V2.0.0
谷歌开源安全团队的 Rex Pan 和 Xueqin Cui 宣布 OSV-Scanner V2.0.0 正式上线。此次升级是开源漏洞管理平台的重大更新,整合了 OSV-SCALIBR 的功能,扩展了对依赖提取、容器扫描及多生态系统修复流程的支持。
OSV-Scanner V2 的关键增强功能
OSV-Scanner V2 在前身(2022 年 12 月发布)及 OSV-SCALIBR(今年早些时候开源)的基础上构建,提供了统一的漏洞检测与修复工具。此次更新引入了三大核心进展:
1. 基于 OSV-SCALIBR 的增强依赖提取
OSV-Scanner 现已成为 OSV-SCALIBR 库 的官方 CLI 工具,扩展了对以下内容的支持:
- 源清单和锁定文件:
- .NET(
deps.json) - Python(
uv.lock) - JavaScript(
bun.lock) - Haskell(
cabal.project.freeze、stack.yaml.lock)
- .NET(
- 构件:
- Node 模块、Python wheels、Java uber JARs 及 Go 二进制文件
2. 分层感知的容器扫描
该工具现支持对 Debian、Ubuntu 和 Alpine 容器镜像的全面分层扫描,提供以下功能:
- 识别包引入的镜像层
- 层历史记录及命令跟踪
- 基础镜像检测(通过 deps.dev API)
- 操作系统/发行版指纹识别
- 非影响性漏洞过滤
支持的生态系统:
- 发行版:Alpine、Debian、Ubuntu
- 语言:Go、Java、Node.js、Python
3. 交互式 HTML 输出与引导式修复
- HTML 报告 现包含:
- 严重性分类与过滤
- 基于包/ID 的漏洞隔离
- 容器的层级特定洞察
- 引导式修复(先前仅支持 npm)现已扩展至 Maven
pom.xml,支持:- 直接及传递依赖更新
- 依赖管理覆盖
- 私有仓库集成
- 面向工作流自动化的机器可读输出
路线图与未来发展
谷歌概述了多项即将推出的举措:
- OSV-SCALIBR 整合:将 OSV-SCALIBR 的全部功能集成至 OSV-Scanner 的 CLI
- 扩展生态系统支持:为引导式修复增加更多语言支持及更广泛的锁定文件兼容性
- 完整文件系统问责:跟踪容器镜像中的旁加载二进制文件
- 可达性分析:深入评估漏洞影响
- VEX 支持:采用漏洞交换(VEX)标准,提升协作效率
开始使用
OSV-Scanner V2 可通过 GitHub 下载。该工具是谷歌更广泛开源安全生态系统的一部分,其中还包括 OSV.dev 漏洞数据库。
对于安全团队而言,此次更新解决了容器安全及传递依赖管理中的长期挑战,而 HTML 输出格式则提升了开发者和审计人员的可操作性。