Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは？：Googleのオープンソース脆弱性スキーマ「OSV」対応

Googleは、オープンソース開発者がプロジェクトに関連する脆弱性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。

[＠IT]

　Googleは2022年12月13日（米国時間）、オープンソース開発者が自分のプロジェクトに関連する脆弱（ぜいじゃく）性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。

　Googleは2021年にオープンソースソフトウェア（OSS）の開発者と利用者のために、脆弱性のトリアージ（優先順位を付けて対処すること）を改善する取り組みとして、「Open Source Vulnerability」（OSV）スキーマを公開し、これに基づく分散型オープンソース脆弱性データベースサービス「OSV.dev」を立ち上げた。OSV-Scannerの公開は、この取り組みの次のステップだとしている。

　OSVスキーマは、全てのオープンソースエコシステムと脆弱性データベースが、1つのシンプルで正確かつ機械可読なフォーマットで情報を公開し、利用できるようにする。OSVデータベースは、プロジェクトの依存関係リストと、それらに影響する脆弱性とを結び付ける。OSV-Scannerは、OSVデータベースの正式にサポートされたフロントエンドを提供する。

　OSV-Scannerをプロジェクトに対して実行すると、マニフェスト、SBOM（Software Bill of Materials：ソフトウェア部品表）、コミットハッシュを分析し、使用されている全ての依存関係を見つける。次に、この情報をOSVデータベースと照合し、プロジェクトに関連する脆弱性を表示する。

　OSV-Scannerは「OpenSSF Scorecard」の脆弱性チェックにも統合されている。そのため、プロジェクトに直接影響する脆弱性にとどまらず、プロジェクトの全ての依存関係に存在する脆弱性も分析することが可能になっている。これにより、Scorecardによって定期的に評価される120万のプロジェクトのセキュリティをより包括的に測定できる。

OSVプロジェクトの進歩

　Googleは、OSV-Scannerの機能を支えるOSVプロジェクトの最近の進歩を次のように紹介している。

OSVスキーマ

　「GitHub Security Advisories」や「Android Security Bulletins」のような脆弱性データベースで広く採用されるようになっている。

OSV.dev

　16のエコシステムをサポートするようになった。その中には、全ての主要言語エコシステム、Linuxディストリビューション（DebianとAlpine）「Android」「Linux Kernel」「OSS-Fuzz」が含まれる。これにより、OSV.devデータベースは、アドバイザリの数が1年前の1万5000件から3万8000件超に増えており、この種のオープンソース脆弱性データベースとしては最大規模となっている。

OSV.devサイト

　全面的に刷新され、UIの改善により、各脆弱性についての情報がより多く提供されるようになった。「DependencyTrack」や「Flutter」など、著名なオープンソースプロジェクトもOSV.devを利用するようになった。

今後の計画

　Googleは、OSV-Scannerを脆弱性スキャナーから脆弱性管理ツールに発展させ、既知の脆弱性を修正する負担を最小化したいと考えている。この目標に向けて、開発者のワークフローとの統合をさらに進めるとともに、C/C++の脆弱性サポートの改善、独自機能の追加（特定の関数レベルの脆弱性情報を利用する機能、効果的なバージョンアップの提案機能など）、VEX（Vulnerability Exploitability eXchange）対応に取り組むとしている。