Google製脆弱性スキャナの最新版「OSV-Scanner 2.0.0」が公開

Googleは現地時間2025年3月17日、オープンソースの脆弱性スキャナ「OSV-Scanner」の最新版をリリースした。

同ソフトウェアは、オープンソースの脆弱性データベースを活用し、コンテナイメージやソフトウェアの依存関係などを調査して既知の脆弱性を特定できるツール。セキュリティ担当者や開発者などが脆弱性の管理や修正などに活用することを想定している。

ベータ版やRC版を経て正式に「同2.0.0」がリリースされたもので、最新版ではコンテナに対するスキャン機能を強化。コンテナイメージにおいてレイヤーレベルでの解析や脆弱性の特定が可能となった。

「Go」「Java」「Node」「Python」におけるアーティファクトのスキャンにも対応。ベースイメージの識別機能を追加したことでより包括的なチェックに対応したという。

「Maven」の「pom.xml」を対象とした依存関係の修正機能を導入。「Haskell」「.NET」「Python」における依存管理ファイルの解析にも対応した。HTMLによるレポート出力では、脆弱性の重要度ごとにフィルタリングを行ったり、コンテナレイヤーごとの情報表示が行える。

またSARIFレポートフォーマットにおける重要度への対応を追加したほか、CycloneDX形式のSBOM解析における修正など、バグの修正を実施。APIより非推奨となった一部パッケージを削除するといった変更も実施されている。

（Security NEXT - 2025/03/19 ） ツイート

PR

関連記事

文字列関数のバグを自動修正する技術 - NTTと早大が共同開発
事前対策や監視を組み合わせた「ランサムウェア対応支援サービス」
約70項目を調査するメールセキュリティ評価サービス - 緊急脆弱性の通知も
遷移条件の設定にも対応、クラウド型のウェブ脆弱性診断サービス
パープルチーミングで体制評価を行うペネトレ支援サービス
WAFの「SiteGuardシリーズ」にマネージドライセンス - EGセキュア
ウェブ狙う攻撃の痕跡を検出するログ解析サービス - ビットフォレスト
外部委託先などを対象としたセキュリティデューデリサービス
「改訂新版セキュリティエンジニアの教科書」が発売 - 日本シーサート協議会
ラック、生成AIシステム特有のセキュリティ問題を診断するサービス