文章目录Google OSV-Scanner一个命令扫清项目依赖里的漏洞1、 为什么是 OSV2、 能用在哪3、 怎么用4、 不只是发现漏洞5、 适合谁用Google OSV-Scanner一个命令扫清项目依赖里的漏洞OSV-Scanner 是 Google 开源的漏洞扫描工具在 GitHub 上已经拿到 10,609 个 Star。它干的事很直接扫描项目的依赖清单查出哪些依赖存在已知漏洞。支持 11 编程语言生态、19 锁文件格式、Linux 系统包、容器镜像还能给出修复建议。1、 为什么是 OSV市面上漏洞扫描工具不少但 OSV-Scanner 的底层数据库 OSV.dev 有自己的一套逻辑。多数商业扫描器的漏洞库是闭源的你没法知道它为什么报这个漏洞、数据来源是哪里。OSV.dev 的数据全部来自公开权威来源——GitHub Security Advisories、RustSec Advisory Database、Ubuntu 安全通知等。每个漏洞的描述格式统一版本影响范围用机器可读的方式存储能精确匹配开发者项目里的依赖列表。结果是误报率低很多。更直接的好处任何人都可以对漏洞条目提改进建议社区参与感强数据质量也在持续变好。2、 能用在哪OSV-Scanner 不是只扫一种项目。它覆盖的范围比较广语言生态C/C、Dart、Elixir、Go、Java、JavaScript、PHP、Python、R、Ruby、Rust包管理器npm、pip、yarn、Maven、Go modules、Cargo、Gem、Composer、NuGet 等操作系统Linux 系统包也能扫容器镜像支持层感知扫描识别基础镜像和应用依赖中的漏洞3、 怎么用最基础的用法是扫整个项目目录osv-scanner scansource-r/path/to/your/dir它会递归查找目录下所有支持的锁文件package.json、go.mod、pom.xml 等逐个匹配漏洞库。扫容器镜像也很简单osv-scanner scan image my-image-name:tag如果网络不方便支持离线模式先下载本地数据库之后完全不需要联网osv-scanner--offline--download-offline-databases ./path/to/your/dir4、 不只是发现漏洞OSV-Scanner 还有一个实验性功能叫 Guided Remediation。它不只是告诉你有漏洞还会建议升级到哪个版本能修掉。支持基于依赖深度、最低严重等级、修复策略等条件过滤建议。目前 npm 和 Maven 项目都可以用osv-scanner fix --max-depth3--min-severity5-Lpath/to/package-lock.json还带交互模式方便一条一条确认要不要升级。另外它内置了调用分析——如果某个漏洞函数在你的代码里根本没被调用就不会报警。这个功能能有效减少干扰。5、 适合谁用正在维护多语言项目的团队、做 CI/CD 安全流水线的开发者、或者单纯想了解自己项目依赖状况的人都可以试试 OSV-Scanner。安装很简单下载预编译二进制或者用go install一行就行。想了解自己项目依赖状况的人都可以试试 OSV-Scanner。安装很简单下载预编译二进制或者用go install一行就行。
Google OSV-Scanner:一个命令扫清项目依赖里的漏洞
发布时间:2026/7/9 7:46:11
文章目录Google OSV-Scanner一个命令扫清项目依赖里的漏洞1、 为什么是 OSV2、 能用在哪3、 怎么用4、 不只是发现漏洞5、 适合谁用Google OSV-Scanner一个命令扫清项目依赖里的漏洞OSV-Scanner 是 Google 开源的漏洞扫描工具在 GitHub 上已经拿到 10,609 个 Star。它干的事很直接扫描项目的依赖清单查出哪些依赖存在已知漏洞。支持 11 编程语言生态、19 锁文件格式、Linux 系统包、容器镜像还能给出修复建议。1、 为什么是 OSV市面上漏洞扫描工具不少但 OSV-Scanner 的底层数据库 OSV.dev 有自己的一套逻辑。多数商业扫描器的漏洞库是闭源的你没法知道它为什么报这个漏洞、数据来源是哪里。OSV.dev 的数据全部来自公开权威来源——GitHub Security Advisories、RustSec Advisory Database、Ubuntu 安全通知等。每个漏洞的描述格式统一版本影响范围用机器可读的方式存储能精确匹配开发者项目里的依赖列表。结果是误报率低很多。更直接的好处任何人都可以对漏洞条目提改进建议社区参与感强数据质量也在持续变好。2、 能用在哪OSV-Scanner 不是只扫一种项目。它覆盖的范围比较广语言生态C/C、Dart、Elixir、Go、Java、JavaScript、PHP、Python、R、Ruby、Rust包管理器npm、pip、yarn、Maven、Go modules、Cargo、Gem、Composer、NuGet 等操作系统Linux 系统包也能扫容器镜像支持层感知扫描识别基础镜像和应用依赖中的漏洞3、 怎么用最基础的用法是扫整个项目目录osv-scanner scansource-r/path/to/your/dir它会递归查找目录下所有支持的锁文件package.json、go.mod、pom.xml 等逐个匹配漏洞库。扫容器镜像也很简单osv-scanner scan image my-image-name:tag如果网络不方便支持离线模式先下载本地数据库之后完全不需要联网osv-scanner--offline--download-offline-databases ./path/to/your/dir4、 不只是发现漏洞OSV-Scanner 还有一个实验性功能叫 Guided Remediation。它不只是告诉你有漏洞还会建议升级到哪个版本能修掉。支持基于依赖深度、最低严重等级、修复策略等条件过滤建议。目前 npm 和 Maven 项目都可以用osv-scanner fix --max-depth3--min-severity5-Lpath/to/package-lock.json还带交互模式方便一条一条确认要不要升级。另外它内置了调用分析——如果某个漏洞函数在你的代码里根本没被调用就不会报警。这个功能能有效减少干扰。5、 适合谁用正在维护多语言项目的团队、做 CI/CD 安全流水线的开发者、或者单纯想了解自己项目依赖状况的人都可以试试 OSV-Scanner。安装很简单下载预编译二进制或者用go install一行就行。想了解自己项目依赖状况的人都可以试试 OSV-Scanner。安装很简单下载预编译二进制或者用go install一行就行。