news 2026/7/9 7:45:54

Google OSV-Scanner:一个命令扫清项目依赖里的漏洞

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Google OSV-Scanner:一个命令扫清项目依赖里的漏洞

文章目录

  • Google OSV-Scanner:一个命令扫清项目依赖里的漏洞
    • 1、 为什么是 OSV
    • 2、 能用在哪
    • 3、 怎么用
    • 4、 不只是发现漏洞
    • 5、 适合谁用

Google OSV-Scanner:一个命令扫清项目依赖里的漏洞

OSV-Scanner 是 Google 开源的漏洞扫描工具,在 GitHub 上已经拿到 10,609 个 Star。

它干的事很直接:扫描项目的依赖清单,查出哪些依赖存在已知漏洞。支持 11+ 编程语言生态、19+ 锁文件格式、Linux 系统包、容器镜像,还能给出修复建议。

1、 为什么是 OSV

市面上漏洞扫描工具不少,但 OSV-Scanner 的底层数据库 OSV.dev 有自己的一套逻辑。

多数商业扫描器的漏洞库是闭源的,你没法知道它为什么报这个漏洞、数据来源是哪里。OSV.dev 的数据全部来自公开权威来源——GitHub Security Advisories、RustSec Advisory Database、Ubuntu 安全通知等。

每个漏洞的描述格式统一,版本影响范围用机器可读的方式存储,能精确匹配开发者项目里的依赖列表。结果是误报率低很多。

更直接的好处:任何人都可以对漏洞条目提改进建议,社区参与感强,数据质量也在持续变好。

2、 能用在哪

OSV-Scanner 不是只扫一种项目。它覆盖的范围比较广:

  • 语言生态:C/C++、Dart、Elixir、Go、Java、JavaScript、PHP、Python、R、Ruby、Rust
  • 包管理器:npm、pip、yarn、Maven、Go modules、Cargo、Gem、Composer、NuGet 等
  • 操作系统:Linux 系统包也能扫
  • 容器镜像:支持层感知扫描,识别基础镜像和应用依赖中的漏洞

3、 怎么用

最基础的用法是扫整个项目目录:

osv-scanner scansource-r/path/to/your/dir

它会递归查找目录下所有支持的锁文件(package.json、go.mod、pom.xml 等),逐个匹配漏洞库。

扫容器镜像也很简单:

osv-scanner scan image my-image-name:tag

如果网络不方便,支持离线模式,先下载本地数据库,之后完全不需要联网:

osv-scanner--offline--download-offline-databases ./path/to/your/dir

4、 不只是发现漏洞

OSV-Scanner 还有一个实验性功能叫 Guided Remediation。它不只是告诉你"有漏洞",还会建议升级到哪个版本能修掉。

支持基于依赖深度、最低严重等级、修复策略等条件过滤建议。目前 npm 和 Maven 项目都可以用:

osv-scanner fix --max-depth=3--min-severity=5-Lpath/to/package-lock.json

还带交互模式,方便一条一条确认要不要升级。

另外它内置了调用分析——如果某个漏洞函数在你的代码里根本没被调用,就不会报警。这个功能能有效减少干扰。

5、 适合谁用

正在维护多语言项目的团队、做 CI/CD 安全流水线的开发者、或者单纯想了解自己项目依赖状况的人,都可以试试 OSV-Scanner。安装很简单,下载预编译二进制或者用go install一行就行。

想了解自己项目依赖状况的人,都可以试试 OSV-Scanner。安装很简单,下载预编译二进制或者用go install一行就行。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/9 7:45:20

计算机毕业设计之旅行社网站的设计与实现

伴随着社会以及科学技术的发展,互联网已经渗透在人们的身边,网络慢慢的变成了人们的生活必不可少的一部分,紧接着网络飞速的发展,系统管理这一名词已不陌生,越来越多的旅行社等机构都会定制一款属于自己个性化的管理系…

作者头像 李华
网站建设 2026/7/9 7:44:33

2026年外贸获客新思路:SEO保底,GEO抢跑,双管齐下

一个外贸组长的实战复盘去年年初,我们团队做了一次年度复盘。数据摆出来之后,大家沉默了很久。谷歌自然搜索流量和去年持平,竞价广告的点击成本涨了将近30%,但整体询盘量——尤其是来自欧美市场的有效询盘——下降了15%左右。不是…

作者头像 李华
网站建设 2026/7/9 7:42:18

小说大纲生成AI写作辅助工具使用参考

开篇多数写小说的创作者都会遇到两类创作卡点,一是只有零散灵感,很难搭建逻辑完整、人设自洽的分层大纲,反复切换工具整理世界观、人物、分卷剧情会打乱创作思路;二是多本小说并行更新时,各本书的大纲、人设、伏笔素材…

作者头像 李华
网站建设 2026/7/9 7:41:19

私有化视频会议平台/智能会议管理系统EasyDSS助力企业实现数字化培训全链路转型

企业培训正经历一场深刻的数字化变革。传统线下培训面临着成本高昂、覆盖面窄、效果难以量化等痛点。EasyDSS作为一站式视频云平台,集直播、点播、会议于一体,为企业培训场景提供了从内容生产、分发交付到效果追踪的完整解决方案。本文将深入解析EasyDSS…

作者头像 李华
网站建设 2026/7/9 7:36:59

Maven POM 标签说明

Maven POM 标签完整参考手册 目录 一、根标签二、项目基本信息三、父 POM 继承四、属性配置五、依赖管理六、模块管理七、构建配置八、分发管理九、仓库配置十、常用插件配置示例 一、根标签 标签说明示例<project>POM 文件的根元素&#xff0c;所有配置都包裹在里面&l…

作者头像 李华
网站建设 2026/7/9 7:35:42

从单兵到团队:用AI智能体协作框架构建高效自动化工作流

&#x1f680; 30款热门AI模型一站整合&#xff0c;DeepSeek/GLM/Qwen 随心用&#xff0c;限时 5 折。 &#x1f449; 点击领海量免费额度 最近在技术圈里&#xff0c;一个来自斯坦福的“黑科技”项目被频繁提及&#xff0c;它能让 Claude 这类大语言模型瞬间“进化”&#…

作者头像 李华