Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは？：Googleのオープンソース脆弱性スキーマ「OSV」対応

Googleは、オープンソース開発者がプロジェクトに関連する脆弱性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。

[＠IT]

　Googleは2022年12月13日（米国時間）、オープンソース開発者が自分のプロジェクトに関連する脆弱（ぜいじゃく）性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。

　Googleは2021年にオープンソースソフトウェア（OSS）の開発者と利用者のために、脆弱性のトリアージ（優先順位を付けて対処すること）を改善する取り組みとして、「Open Source Vulnerability」（OSV）スキーマを公開し、これに基づく分散型オープンソース脆弱性データベースサービス「OSV.dev」を立ち上げた。OSV-Scannerの公開は、この取り組みの次のステップだとしている。

　OSVスキーマは、全てのオープンソースエコシステムと脆弱性データベースが、1つのシンプルで正確かつ機械可読なフォーマットで情報を公開し、利用できるようにする。OSVデータベースは、プロジェクトの依存関係リストと、それらに影響する脆弱性とを結び付ける。OSV-Scannerは、OSVデータベースの正式にサポートされたフロントエンドを提供する。