Google выпустил открытую версию OSV-Scanner, подняв обнаружение уязвимостей на новый уровень
Google официально представила OSV-Scanner V2.0.0 17 марта 2025 года. Это обновлённый инструмент, который значительно помогает специалистам в выявлении и устранении уязвимостей в программном обеспечении.
OSV-Scanner впервые был выпущен в декабре 2022 года и занял своё место среди инструментов открытого кода для обеспечения безопасности. Его основная цель – предоставление разработчикам актуальной и точной информации о выявленных уязвимостях в их проектах. В версии V2 инструмент значительно усовершенствован благодаря интеграции с OSV-SCALIBR, расширяющей его возможности.
Команда Google Open Source Security заявляет:
🗣️ «Эта версия V2, построенная на основе OSV-SCALIBR, значительно улучшает OSV-Scanner. Теперь это не просто инструмент для сканирования уязвимостей, а полноценное средство для их устранения с поддержкой множества форматов и экосистем».
🔍 Интеграция OSV-SCALIBR – поддержка новых форматов
OSV-Scanner V2 теперь анализирует зависимости в большем количестве экосистем. Добавлена поддержка следующих форматов:
✅ .NET – deps.json
✅ Python – uv.lock
✅ JavaScript – bun.lock
✅ Haskell – cabal.project.freeze, stack.yaml.lock
✅ Различные артефакты – модули Node.js, колёса Python, Uber JAR-файлы Java, бинарные файлы Go
Это позволяет разработчикам автоматически анализировать все зависимости в своих проектах и выявлять потенциальные уязвимости.
🛠 Контейнерное сканирование с анализом слоёв
OSV-Scanner V2 теперь полностью поддерживает анализ контейнерных образов Debian, Ubuntu и Alpine. Инструмент предоставляет:
🔹 Историю слоёв, где были добавлены пакеты
🔹 Определение базового образа
🔹 Фильтрацию уязвимостей в зависимости от окружения
📊 Интерактивный HTML-отчёт
Теперь OSV-Scanner генерирует интерактивные HTML-отчёты с расширенными возможностями:
🔸 Фильтрация и приоритизация уязвимостей по степени критичности
🔸 Подробная информация о каждой уязвимости
🔸 Фильтрация слоёв и определение базовых образов для контейнерных анализов
Это значительно упрощает детальный анализ безопасности.
🔧 Упрощённое устранение уязвимостей в Maven
Ранее OSV-Scanner автоматически исправлял уязвимости в npm-пакетах. Теперь эта функция доступна и для Java-проектов с использованием Maven:
✅ Поддержка pom.xml для обновления зависимостей и устранения уязвимостей
✅ Возможность выбирать между прямым обновлением версии и альтернативными зависимостями
Этот функционал значительно упрощает поддержание безопасности кода для Java-разработчиков.
💡 Преимущества OSV-Scanner перед коммерческими аналогами
🔹 Полностью открытый код – база данных уязвимостей пополняется сообществом в реальном времени
🔹 Высокое качество рекомендаций – точные инструкции по исправлению уязвимостей
🔹 Поддержка различных языков и экосистем – Node.js, Python, Java, Go, .NET и другие
Google позиционирует OSV-Scanner как сильную альтернативу закрытым коммерческим решениям, позволяя автоматически выявлять и исправлять уязвимости в проектах.
🔹 Рекомендации по использованию OSV-Scanner
✅ Немедленно обновитесь до OSV-Scanner V2.0.0
✅ Регулярно проверяйте зависимости на наличие уязвимостей
✅ Используйте возможности анализа контейнеров
✅ Интегрируйте OSV-Scanner в GitHub Actions или CI/CD
✅ Следуйте рекомендациям по исправлению уязвимостей и своевременно обновляйте зависимости
OSV-Scanner V2.0.0 уже доступен для загрузки на официальной странице GitHub.
👉 Источник: GitHub – OSV-Scanner
Google сделала важный шаг в повышении безопасности программного обеспечения. Теперь разработчики и специалисты DevOps могут быстро обнаруживать скрытые уязвимости в коде и автоматически их исправлять.
🛡 Используйте OSV-Scanner для повышения кибербезопасности ваших проектов!
