Googleは12月13日(米国時間)、「Google Online Security Blog: Announcing OSV-Scanner: Vulnerability Scanner for Open Source」において、オープンソースプロジェクトのための脆弱性スキャナ「OSV-Scanner」を発表した。これは、オープンソース開発者が、自身のプロジェクトに関連する脆弱性情報に容易にアクセスできるようにするために開発された無償のツールだという。

  • Google Online Security Blog: Announcing OSV-Scanner: Vulnerability Scanner for Open Source

    Google Online Security Blog: Announcing OSV-Scanner: Vulnerability Scanner for Open Source

オープンソースプロジェクトの依存関係リストと、それらに影響を与える脆弱性を結びつける公式にサポートされているOSV(Open Source Vulnerabilities)データベースへのフロントエンドとして、OSV-Scannerは公開されている。コードと依存関係を既知の脆弱性リストと照合し、パッチやアップデートが必要な場合に通知する自動化機能が提供されている。

オープンソースプロジェクトでOSV-Scannerを実行すると、マニフェスト、SBOM、コミットハッシュを分析し、使用されているすべての推移的依存関係を確認することができるという。また、これらの情報をOSVデータベースと接続することができ、オープンソースプロジェクトに関連する脆弱性を表示可能と説明されている。

そのほか、OSV-ScannerはOpenSSF Scorecardの脆弱性チェックにも統合されており、オープンソースプロジェクトの直接的な脆弱性からすべての依存関係の脆弱性も含めて分析するようになると紹介されている。OpenSSF Scorecardが定期的に評価している120万のオープンソースプロジェクトによって、セキュリティをより包括的に測定できるようになるという。