- @IT
- アジャイル/DevOps
- Test & Tools
- Google、無料オープンソース脆弱性スキャンツール「...
Google、無料オープンソース脆弱性スキャンツール「OSV-Scanner V2.0.0」公開 コンテナスキャンに対応、その他の新機能は?:Mavenの「pom.xml」にも対応
Googleは、「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」を公開した。依存関係解析の強化、コンテナイメージのスキャンなどの新機能が追加された。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleは2025年3月17日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報にアクセスできる無料ツール「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」の提供を開始した。
OSV Scanner V2.0.0では、2025年1月にオープンソース化した「OSV-SCALIBR」(ソフトウェア構成分析支援ライブラリ)の機能を初めて統合し、複数の新機能が追加されている。
「開発者やセキュリティチームが脆弱性管理をシンプルかつ効率的にすることを目標に、OSV-Scannerに新機能を多数追加した。幅広いフォーマットやエコシステムをサポートする、より包括的な脆弱性スキャナーおよび脆弱性修正ツールに進化した」と、Googleは述べている。
OSV-Scanner V2.0.0の新機能
OSV-SCALIBRによる依存関係抽出の強化
OSV-SCALIBRの機能がOSV-Scannerに統合された。これにより、プロジェクトやコンテナの依存関係などのスキャンが可能になった。以下のようなソースマニフェストやロックファイル、アーティファクトの抽出に対応しているという。
ソースマニフェストとロックファイル:
- .NET:deps.json
- Python:uv.lock
- JavaScript:bun.lock
- Haskell:cabal.project.freeze、stack.yaml.lock
アーティファクト:
- Node modules
- Python wheels
- Java uber jars
- Go binaries
コンテナ内のレイヤーごとに脆弱性をチェックするコンテナスキャンに対応
Debian、Ubuntu、AlpineなどのLinuxディストリビューションにおける、コンテナイメージの包括的なスキャンに対応した。コンテナイメージ内の各レイヤーを個別に解析し、どのレイヤーで脆弱性が発生しているかを特定できるようになるという。
OSV-Scannerは、コンテナイメージを解析し、以下の情報を提供する。
- パッケージが初めて導入されたレイヤー
- レイヤーの履歴とコマンド
- コンテナのベースイメージ(deps.devが提供する新しい実験的APIを活用)
- コンテナが実行されているOS/ディストリビューション
- コンテナイメージに影響を与える可能性が低い脆弱性のフィルタリング
このレイヤー分析は現在、Go、Java、Node.js、Pythonをサポートしている。
インタラクティブなHTML出力をサポート
脆弱性スキャン情報を明確に、実用的な方法で提示することは、特にコンテナスキャンでは課題だった。これに対処するため、インタラクティブなローカルHTML出力形式を新たにサポートした。ターミナルのみの出力と比較すると、以下のようにインタラクティブ性が向上し、より多くの情報を提供可能だという。
- 深刻度別の分析結果
- パッケージとIDのフィルタリング
- 脆弱性の重要度フィルタリング
- 完全な脆弱性勧告情報の表示
- レイヤーフィルタリング
- イメージレイヤー情報
- ベースイメージの識別
Mavenのpom.xmlに対応
2024年、Googleはnpm向けに「ガイド付き修正機能」(Guided Remediation)をリリースした。これは、プロジェクト内の脆弱性に優先順位を付け、修正が必要な特定の依存関係や、推奨されるバージョンを提案し、脆弱性管理の効率化を支援する機能だ。
OSV Scanner V2.0.0では、Mavenで生成されるpom.xmlのスキャンをサポートし、Javaプロジェクトの脆弱性管理を支援する。pom.xmlのサポートに合わせて、以下の機能が追加されている。
- 依存関係のバージョンを直接指定して上書きするオーバーライドに対応
- ローカルの親pomファイルへの変更の書き込みを含む、pom.xmlファイルの読み取りと書き込みに対応
- Mavenのメタデータを取得するためのプライベートレジストリ指定機能を追加
- pom.xml内の依存関係を最新バージョンに更新するための新しい実験的サブコマンドの追加
Copyright © ITmedia, Inc. All Rights Reserved.
Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは?
ゼロトラストアーキテクチャへの変革におけるモダナイゼーションの重要性、移行への実践的なアプローチTest & Tools 鬮ォ�ェ陋滂ソス�ス�コ闕オ譁溷クキ�ケ譎「�ス�ウ驛「�ァ�ス�ュ驛「譎「�ス�ウ驛「�ァ�ス�ー
- Google邵イ竏ォ笏瑚ュ∝生縺檎ケ晢スシ郢晏干ホヲ郢ァ�ス郢晢スシ郢ァ�ケ髢シ�ス�シ�ア隲、�ァ郢ァ�ケ郢ァ�ュ郢晢ス」郢晢スウ郢晢ソス�ス郢晢スォ邵イ阮ォSV-Scanner V2.0.0邵イ讎奇ソス鬮「荵敖ツ郢ァ�ウ郢晢スウ郢晢ソス繝ェ郢ァ�ケ郢ァ�ュ郢晢ス」郢晢スウ邵コ�ォ陝�スセ陟「諛環竏壺落邵コ�ョ闔画じ�ス隴�スー隶匁コッ�ス邵コ�ッ�ス�ス
- 遯カ蟒ィit邵コ�ョRust陋ケ蝠渉譏エ窶イ鬨セ�イ郢ァツ�ス貅伉ツ雎包スィ騾カ�ョ邵コ�ョ邵イ髫�it 2.49邵イ髦ェ窶イ郢晢スェ郢晢スェ郢晢スシ郢ァ�ケ
- GIMP 3.0陷茨スャ鬮「荵敖ツ鬮ア讓抵ソス�エ陞「鄙ォ繝オ郢ァ�」郢晢スォ郢ァ�ソ郢晢スシ郢ァ�スホ樒ケァ�、郢晢ス、郢晢スシ隲。�。陟托スオ邵コ�ェ邵コ�ゥ邵イ竏ス�ス霈披イ邵コ�ァ邵コ髦ェ�狗ケァ蛹サ竕ァ邵コ�ォ邵コ�ェ邵コ�」邵コ貊ゑスシ�ス
- 隰セ�ケ郢ァ竏壺サ驕抵スコ髫ア髦ェ��邵コ�ヲ邵コ鄙ォ窶ウ邵コ貅假シ樒クイ蠕後○郢晏現�ス郢晢スェ郢晢スシ郢晄亢縺�ケ晢スウ郢晏現ツ髦ェ竊堤クイ譴ァ蜃セ鬮「讌「�ヲ迢暦スゥ髦ェ�らケァ鄙ォツ髦ェ�ス鬩戊シ費シ�
- 邵イ遯蘖I郢晢ソス縺帷ケ晏現�帝墓サ難ソスAI邵コ�ァ郢晢スャ郢晏生ホ晉ケァ�「郢晢ソス�ス邵コ霈披雷郢ァ荵敖髦ェ竊鍋クコ�ッ闖エ霈披�雎包スィ隲「荳奇シ�邵イ竏ス�ス霈費ス定イ�摩�咏クコ蜉ア竊醍クコ莉」�檎クコ�ー邵コ�ェ郢ァ蟲ィ竊醍クコ�ス�ス邵コ�ス
- GitHub Copilot邵コ�ァ陷会スケ驍�ソス蝎ェ邵コ�ェ郢晢ソス繝ー郢晢ソス縺堤ケァ雋橸スョ貅ス讓溽クコ蜷カ��5邵コ�、邵コ�ョ驕伜。�ュ謔カツツ郢晁�縺定将�ョ雎�ス」邵コ荵晢ス臥ケ晢ソス縺帷ケ晁ご蜃ス隰瑚�竏ェ邵コ�ァ郢ァ蛛オ竊千クコ�ス譟鷹g�ス蝟ァ邵コ�ァ邵コ髦ェ�狗クコ�ョ邵コ�ス
- Jenkins邵コ�ォ闔会ス」郢ァ荳奇ス気I/CD郢晢ソス�ス郢晢スォ邵イツ郢晏現繝」郢晢ソス10
- APM vs. APM邵イツ2邵コ�、邵コ�ョ鬩戊シ費シ樒ケァ�ス5邵コ�、邵コ�ョ髫包スウ霓、�ケ邵コ�ァ髫暦ス」髫ア�ャ
- 郢ァ�ケ郢ァ�ソ郢晢ソス vs 郢晢ス「郢晢ソス縺醍クイツ郢晢ソス縺帷ケ晏現縲定ア�ス」邵コ蜉ア�樣ゥ包スク隰壽ァュ�堤クコ蜷カ�狗クコ貅假ス∫クコ�ォ隰壻サ」竏エ邵コ�ヲ邵コ鄙ォ窶ウ邵コ貅假シ樒クイ�ス3邵コ�、邵コ�ョ鬮滂スキ隰�邵コ�ィ驕擾スュ隰�邵イ�ス
- AI邵コ�ォ郢ァ蛹サ�帰I邵コ�ョ闖ォ�ョ雎�ス」邵コ�ッ陷ソ�ッ髢ュ�ス邵コ荵敖ツGitHub Copilot Autofix邵コ荵晢ス蛾囎荵昶斡邵コ�ヲ邵コ荳奇ス帰I邵コ�ョ隴�スー邵コ貅倪�髫ア�イ鬯假ソス
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。