谷歌近日正式發布了OSV-Scanner V2.0.0版本，這是其開源漏洞掃描工具的重大升級。該版本于2025年3月17日發布，標志著它在幫助開發者識別和修復軟件依賴項中安全漏洞的能力取得了顯著進展。

V2版本在OSV-SCALIBR的基礎上進行了升級，引入了大量新功能，使OSV-Scanner轉型為一個全面的漏洞檢測和修復平臺。自2022年12月首次發布以來，OSV-Scanner已經成為開源安全領域的重要工具，幫助開發者輕松獲取與其項目相關的漏洞信息。

谷歌開源安全團隊表示：“V2版本在OSV-SCALIBR的基礎上構建，并為OSV-Scanner添加了重要的新功能，使其成為一個支持多種格式和生態系統的全面漏洞掃描和修復工具。”

V2版本的關鍵創新

OSV-Scanner V2的重大改進主要包括以下幾個方面：

(1) OSV-SCALIBR增強的依賴項提取功能

這是OSV-SCALIBR功能首次大規模集成到OSV-Scanner中，顯著擴展了對各類依賴項的支持。新增支持的格式包括：

• .NET: deps.json
• Python: uv.lock
• JavaScript: bun.lock
• Haskell: cabal.project.freeze, stack.yaml.lock
• 多種構件，包括Node模塊、Python輪子、Java uber jars和Go二進制文件

(2) 容器鏡像的層級感知掃描

OSV-Scanner V2引入了對Debian、Ubuntu和Alpine容器鏡像的全面掃描功能，提供了以下特性：

此功能提供了層級分析，顯示軟件包的引入位置、層級歷史、基礎鏡像識別以及針對容器環境的漏洞過濾。

(3) 交互式HTML輸出

新的HTML報告格式增強了可視化能力，包括嚴重性分類、篩選選項以及詳細的漏洞信息。對于容器鏡像，它還添加了層級過濾和基礎鏡像識別功能，可通過以下命令使用：

這使得漏洞信息更易于訪問和操作。

容器鏡像掃描的HTML輸出

(4) Maven的引導式修復功能

在npm包的引導式修復功能基礎上，V2版本現在通過支持Maven的pom.xml文件，擴展了對Java的引導式修復能力：

這使得開發者可以通過直接版本更新或依賴管理覆蓋來修復直接和傳遞性依賴的漏洞。

其他改進與兼容性

OSV-Scanner V2在引入眾多改進的同時，也包含了一些旨在為未來鋪路的破壞性更改。該版本提供了一個全面的遷移指南，以確保現有用戶的平滑升級。一些顯著的變化包括引導式修復默認為非交互模式、刪除了實驗性標志以及合并了許可證標志。

與閉源解決方案相比，OSV-Scanner工具具有顯著的優勢。作為一個開源的分布式漏洞數據庫，OSV提供高質量的漏洞公告，且社區貢獻可以進一步改進這些公告，從而生成精確且機器可讀的漏洞信息，能夠準確映射到軟件包依賴項。

現在，使用各種編程語言的開發者都可以利用OSV-Scanner V2來增強其安全性，并高效管理其開源依賴項中的漏洞修復工作。OSV-Scanner現已可從官方GitHub倉庫立即下載。