Google OSV-Scanner 安全扫描工具安装指南

于 2025-06-06 09:00:43 发布
阅读量313 收藏 3
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00451/article/details/148464038

Google OSV-Scanner 安全扫描工具安装指南

osv-scanner Vulnerability scanner written in Go which uses the data provided by https://osv.dev osv-scanner 项目地址: https://gitcode.com/gh_mirrors/os/osv-scanner

工具简介

OSV-Scanner 是一款由 Google 开发的开源安全扫描工具,专门用于检测项目依赖中的安全问题。它能够对接多个开源安全数据库,为开发者提供全面的依赖安全分析。

二进制安装方式

OSV-Scanner 提供了预编译的二进制文件,支持以下操作系统:

  • Linux 系统
  • macOS 系统
  • Windows 系统

这些二进制文件都符合 SLSA3 安全标准,确保了构建过程的可验证性和安全性。

各平台包管理器安装

Windows 系统

Windows 用户可以通过以下两种方式安装:

  1. Scoop 安装(适用于 Scoop 用户):

    scoop install osv-scanner

  2. WinGet 安装(Windows 原生包管理器):

    winget install Google.OSVScanner

macOS 系统

Homebrew 用户可以通过以下命令安装:

brew install osv-scanner

Linux 发行版

不同 Linux 发行版的安装方式:

  1. Arch Linux

    pacman -S osv-scanner

  2. Alpine Linux

    apk add osv-scanner

BSD 系统

  1. FreeBSD

    pkg install osv-scanner

  2. NetBSD

    pkg_add osv-scanner

  3. OpenBSD

    pkg_add osv-scanner

从源码安装

对于需要自定义构建或有特殊需求的用户,可以从源码安装:

go install github.com/google/osv-scanner/v2/cmd/osv-scanner@latest

前提条件

  • 需要安装 Go 1.23.5 或更高版本

从源码构建

如需从源码构建,需要参考项目的构建指南。构建过程需要:

  1. 正确配置 Go 开发环境
  2. 安装必要的构建工具链
  3. 了解基本的 Go 项目构建流程

构建验证

每个正式发布的版本都附带 SLSA 来源证明数据(multiple.intoto.jsonl),可以使用 slsa-verifier 工具验证二进制文件的来源和构建过程。

验证示例:

slsa-verifier verify-artifact ./osv-scanner_1.2.0_linux_amd64 \
  --provenance-path multiple.intoto2.jsonl \
  --source-uri github.com/google/osv-scanner \
  --source-tag v1.2.0

版本兼容性说明

OSV-Scanner 遵循语义化版本控制(SemVer)规范:

  1. 相同主版本号(Major)下的所有版本保证 JSON 输出和 CLI 参数的向后兼容性
  2. 标记为 experimental 的功能(如 --experimental-call-analysis)可能在次版本号(Minor)更新时被修改或移除

使用建议

  1. 对于大多数用户,推荐使用包管理器安装,这是最简单快捷的方式
  2. 企业用户或安全敏感环境建议验证构建来源
  3. 生产环境应避免使用实验性功能,以免后续版本变更影响工作流程

通过以上安装方式,开发者可以轻松将 OSV-Scanner 集成到开发流程中,及时发现和修复依赖中的安全问题。

osv-scanner Vulnerability scanner written in Go which uses the data provided by https://osv.dev osv-scanner 项目地址: https://gitcode.com/gh_mirrors/os/osv-scanner

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

网络安全方向相关课题和材料
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
10-30 1525
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
使用Google OSV工具扫描依赖安全漏洞
apl359的博客
12-25 1186
安全漏洞是软件工程化能力的试金石2021年年底,Log4j的漏洞陆续被公开。因为该框架被大量的开源软件依赖,所以,漏洞影响面非常大。面对这个漏洞,我们遇到的第一个问题是:如何知道我们哪些工程使用了Log4j?在我看来,这个漏洞是企业软件工程化的一颗非常好的试金石。因为:1.如何第一时间了解到这个漏洞,反应这家企业的安全能力;2.如何第一时间能找到所有使用了Log4j的位置,体现了这家企业第三方...
探索OSV ScannerGoogle的开源漏洞扫描器
gitblog_00096的博客
03-20 1149
探索OSV ScannerGoogle的开源漏洞扫描器 osv-scannerVulnerability scanner written in Go which uses the data provided by https://osv.dev项目地址:https://gitcode.com/gh_mirrors/os/osv-scanner 项目简介 在如今的软件开发中,依赖管理是不可或缺的...
osv-scanner使用说明
mosaicwang的博客
03-26 465
osv-scanner 2.0 使用说明
OSV-Scanner 使用教程
gitblog_00388的博客
08-07 1210
OSV-Scanner 使用教程 项目地址:https://gitcode.com/gh_mirrors/os/osv-scanner 项目介绍 OSV-Scanner 是一个用 Go 语言编写的漏洞扫描工具,它利用 OSV 数据库提供的数据来识别项目依赖中的已知漏洞。OSV-Scanner 提供了一个官方支持的前端,将项目的依赖列表与受影响的漏洞连接起来。由于 OSV 数据库是开源和分布式的,它...
osv-scanner使用方法
最新发布
03-30
### OSV-Scanner 的使用方法 #### 准备工作 在开始之前,需确认已安装好 Go 语言环境并配置 GOPATH。如果尚未完成此操作,请先按照指南进行设置[^3]。 #### 安装过程 可以通过 `go` 命令来获取最新版本的 OSV-...
34_Web漏洞扫描工具、常见Web漏洞扫描工具、AWVS的部署与使用、 渗透测试的概念、分类及流程、AWVS破解
weixin_54591045的博客
08-14 894
Web漏洞扫描工具、常见Web漏洞扫描工具、AWVS的部署与使用、 渗透测试执行流程、AWVS破解
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8585
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
漏洞扫描器编写的Go使用数据提供的.zip
05-25
在提供的压缩包文件中,`osv-scanner_main.zip`可能是源代码或已编译的漏洞扫描器的主程序,而`说明.txt`可能包含关于如何使用该扫描器或其内部工作原理的指南。对于学习如何编写Go语言的漏洞扫描器,你可以解压`osv...
osv:开源漏洞数据库和分类服务
03-07
OSV-开源漏洞 OSV是用于开源项目的和分类基础结构,旨在帮助开源维护者和开源使用者。 对于开源维护者,OSV的自动化功能有助于减轻分类负担。 每个漏洞都会经过自动的对分和影响分析,以确定精确的受影响提交和版本范围。 对于开源使用者,OSV提供了一个API,使这些项目的用户可以查询其版本是否受到影响。 当前数据源: 这是一个正在进行的项目。 我们希望与开放源代码社区合作,以。 查看网页界面 OSV的Web UI实例部署在。 使用API curl -X POST -d \ ' {"commit": "6879efc2c1596d11a6a6ad296f80063b558d5e0f"} ' \ " https://api.osv.dev/v1/query?key= $API_KEY " curl -X POST -d \ ' {"versio
OSV-Scanner 常见问题解决方案
gitblog_00612的博客
01-26 469
OSV-Scanner 常见问题解决方案 osv-scanner Vulnerability scanner written in Go which uses the data provided by https://osv.dev ...
Google 释出开源软件漏洞扫描工具 OSV-Scanner
开源社KAIYUANSHE的博客
12-21 1323
开源开发人员可在项目使用 OSV-Scanner,透过比对依赖项目和 OSV 漏洞资料库,找出项目的依赖项目中所存在的漏洞。Google 推出免费工具 OSV-Scanner(https://github.com/google/osv-scanner),供开源开发人员可以更简单地存取和项目相关的漏洞资讯。去年 Google 发布开源漏洞(Open Source Vulnerability)架构并且...
SCA——开源安全威胁一网打尽
andre1918的博客
01-10 504
SCA是一项通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。软件成分分析是任何安全开发生命周期的标准基本部分,及时发现问题可以降低成本,提高敏捷性,使软件更安全,并帮助开发团队学会将安全性纳入其规划和设计决策中,对于维护软件安全起到了重要作用。
谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner
Go中国
12-19 600
文章转自 InfoQ近日,谷歌本发布了开源漏洞扫描器 OSV-ScannerOSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。GitHub 地址:https://github.com/google/osv-scanner谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV...
SVScanner:开源漏洞扫描与大规模利用工具
gitblog_00180的博客
10-10 732
SVScanner:开源漏洞扫描与大规模利用工具 SVScanner SVScanner - Scanner Vulnerability And MaSsive Exploit. 项目地址: https://gitcode.com...
探秘高效扫描工具Scanner by Shaojiankui
gitblog_00097的博客
04-23 478
探秘高效扫描工具Scanner by Shaojiankui 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个由 Shaojiankui 开发并维护的轻量级、高性能的文件扫描框架,专为 iOS 和 macOS 平台设计。这个项目提供了一个简单易用的 API,让开发者可以快速集成到自己的应用中,实现对设备文件系统的深度扫描和管理。 技术分析 Scanner 基于 ...
软件开发团队的护网低成本应对方案
明光札记
05-01 977
1、在控制成本与关注核心效果的情况下主要对于0click漏洞进行重点测试加固,对于1click漏洞可以酌情开展;
osv-scanner 扫描springboot项目的pom.xml会出现扫描失败
12-06
使用OSV-Scanner扫描Spring Boot项目的pom.xml文件时,可能会遇到扫描失败的情况。以下是一些可能的原因和解决方法: 1. **依赖项版本不兼容**: - 确保你的pom.xml文件中声明的所有依赖项版本都是兼容的,并且没有冲突。可以使用`mvn dependency:tree`命令来查看依赖树,确保没有版本冲突。 2. **网络问题**: - OSV-Scanner需要从Maven仓库下载依赖项以进行分析。如果你的网络环境有防火墙或代理设置,可能会导致下载失败。确保你的网络配置允许访问Maven仓库。 3. **pom.xml文件格式错误**: - 检查pom.xml文件的格式是否正确,确保没有语法错误。可以使用`mvn validate`命令来验证pom.xml文件的格式。 4. **OSV-Scanner版本问题**: - 确保你使用的是最新版本的OSV-Scanner。旧版本可能存在一些已知的bug或兼容性问题。可以从[OSV-Scanner的GitHub页面](https://github.com/google/osv-scanner)下载最新版本。 5. **缺少必要的插件或依赖**: - 有些项目可能需要特定的插件或依赖才能正确构建。确保你的项目已经安装了所有必要的插件和依赖。 6. **缓存问题**: - 有时候,Maven的本地仓库缓存可能会导致问题。可以尝试清理Maven缓存并重新构建项目: ```bash mvn clean mvn dependency:purge-local-repository ``` 7. **日志和错误信息**: - 查看OSV-Scanner的日志和错误信息,寻找具体的错误提示。这可以帮助你更准确地定位问题所在。 通过以上步骤,你应该能够找出导致扫描失败的原因并加以解决。如果问题仍然存在,建议在OSV-Scanner的GitHub页面提交issue,寻求社区的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

邱寒望Half-Dane

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值