Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは？：Googleのオープンソース脆弱性スキーマ「OSV」対応

Googleは、オープンソース開発者がプロジェクトに関連する脆弱性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。

» 2022年12月19日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleは2022年12月13日（米国時間）、オープンソース開発者が自分のプロジェクトに関連する脆弱（ぜいじゃく）性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。

　Googleは2021年にオープンソースソフトウェア（OSS）の開発者と利用者のために、脆弱性のトリアージ（優先順位を付けて対処すること）を改善する取り組みとして、「Open Source Vulnerability」（OSV）スキーマを公開し、これに基づく分散型オープンソース脆弱性データベースサービス「OSV.dev」を立ち上げた。OSV-Scannerの公開は、この取り組みの次のステップだとしている。

　OSVスキーマは、全てのオープンソースエコシステムと脆弱性データベースが、1つのシンプルで正確かつ機械可読なフォーマットで情報を公開し、利用できるようにする。OSVデータベースは、プロジェクトの依存関係リストと、それらに影響する脆弱性とを結び付ける。OSV-Scannerは、OSVデータベースの正式にサポートされたフロントエンドを提供する。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

2022年の脆弱性報告は「構成ミス」「不適切な認可」が大幅増加 HackerOne調査
企業向けにバグ報奨金制度の運営代行など各種セキュリティサービスを手掛けるHackerOneが、年次活動報告を発表した。
パッチマネジメントを自動化する際に考えておきたい脆弱性管理の課題とは
パッチ適用の時間を短縮する「自動化」について解説する連載。最終回は、パッチマネジメントサイクルについて振り返り、脆弱性管理の課題や最新動向などについて解説します。
クラウドネイティブな環境でも「やることは変わらない」――GMOペパボにおけるインフラセキュリティ管理、7つの取り組み
レンタルサーバやホスティング、EC支援など幅広く事業を展開するGMOペパボ。OpenStack、ベアメタル環境、クラウドとITインフラの変遷を反映したような同社のインフラ構成において、セキュリティ対策にどう取り組んでいるのか。＠ITが2022年9月に開催した「Cloud Native Week 2022秋」でGMOペパボの山下和彦氏が紹介した。