Google、無料オープンソース脆弱性スキャンツール「OSV-Scanner V2.0.0」公開 コンテナスキャンに対応、その他の新機能は？：Mavenの「pom.xml」にも対応

Googleは、「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」を公開した。依存関係解析の強化、コンテナイメージのスキャンなどの新機能が追加された。

[＠IT]

　Googleは2025年3月17日（米国時間）、オープンソース開発者が自分のプロジェクトに関連する脆弱（ぜいじゃく）性情報にアクセスできる無料ツール「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」の提供を開始した。

　OSV Scanner V2.0.0では、2025年1月にオープンソース化した「OSV-SCALIBR」（ソフトウェア構成分析支援ライブラリ）の機能を初めて統合し、複数の新機能が追加されている。

　「開発者やセキュリティチームが脆弱性管理をシンプルかつ効率的にすることを目標に、OSV-Scannerに新機能を多数追加した。幅広いフォーマットやエコシステムをサポートする、より包括的な脆弱性スキャナーおよび脆弱性修正ツールに進化した」と、Googleは述べている。

OSV-Scanner V2.0.0の新機能

OSV-SCALIBRによる依存関係抽出の強化

　OSV-SCALIBRの機能がOSV-Scannerに統合された。これにより、プロジェクトやコンテナの依存関係などのスキャンが可能になった。以下のようなソースマニフェストやロックファイル、アーティファクトの抽出に対応しているという。

ソースマニフェストとロックファイル：

• .NET：deps.json
• Python：uv.lock
• JavaScript：bun.lock
• Haskell：cabal.project.freeze、stack.yaml.lock

アーティファクト：

• Node modules
• Python wheels
• Java uber jars
• Go binaries

コンテナ内のレイヤーごとに脆弱性をチェックするコンテナスキャンに対応

　Debian、Ubuntu、AlpineなどのLinuxディストリビューションにおける、コンテナイメージの包括的なスキャンに対応した。コンテナイメージ内の各レイヤーを個別に解析し、どのレイヤーで脆弱性が発生しているかを特定できるようになるという。

　OSV-Scannerは、コンテナイメージを解析し、以下の情報を提供する。

• パッケージが初めて導入されたレイヤー
• レイヤーの履歴とコマンド
• コンテナのベースイメージ（deps.devが提供する新しい実験的APIを活用）
• コンテナが実行されているOS/ディストリビューション
• コンテナイメージに影響を与える可能性が低い脆弱性のフィルタリング

　このレイヤー分析は現在、Go、Java、Node.js、Pythonをサポートしている。

インタラクティブなHTML出力をサポート

　脆弱性スキャン情報を明確に、実用的な方法で提示することは、特にコンテナスキャンでは課題だった。これに対処するため、インタラクティブなローカルHTML出力形式を新たにサポートした。ターミナルのみの出力と比較すると、以下のようにインタラクティブ性が向上し、より多くの情報を提供可能だという。

• 深刻度別の分析結果
• パッケージとIDのフィルタリング
• 脆弱性の重要度フィルタリング
• 完全な脆弱性勧告情報の表示
• レイヤーフィルタリング
• イメージレイヤー情報
• ベースイメージの識別

コンテナイメージスキャン結果のHTML出力の例（提供：Google）

Mavenのpom.xmlに対応

　2024年、Googleはnpm向けに「ガイド付き修正機能」（Guided Remediation）をリリースした。これは、プロジェクト内の脆弱性に優先順位を付け、修正が必要な特定の依存関係や、推奨されるバージョンを提案し、脆弱性管理の効率化を支援する機能だ。

　OSV Scanner V2.0.0では、Mavenで生成されるpom.xmlのスキャンをサポートし、Javaプロジェクトの脆弱性管理を支援する。pom.xmlのサポートに合わせて、以下の機能が追加されている。

• 依存関係のバージョンを直接指定して上書きするオーバーライドに対応
• ローカルの親pomファイルへの変更の書き込みを含む、pom.xmlファイルの読み取りと書き込みに対応
• Mavenのメタデータを取得するためのプライベートレジストリ指定機能を追加
• pom.xml内の依存関係を最新バージョンに更新するための新しい実験的サブコマンドの追加