Google、OSSの脆弱性スキャナー「OSV-Scanner V2.0.0」をリリース：セキュリティニュースアラート

GoogleはOSSの脆弱性スキャナー「OSV-Scanner V2.0.0」をリリースした。脆弱性情報の管理を簡素化する複数の機能を提供する。今回のバージョンで追加された機能をまとめた。

[後藤大地，有限会社オングス]

　Googleは2025年3月17日（現地時間）、オープンソースソフトウェア（OSS）で提供される脆弱（ぜいじゃく）性スキャナー「OSV-Scanner V2.0.0」を正式リリースした。

　同ツールは脆弱性情報の管理を簡素化し、開発者やセキュリティチームが既知の脆弱性を正確に特定し、修正を実施できるようにすることを目的としている。

Google、OSSの脆弱性スキャナー「OSV-Scanner V2.0.0」をリリース

　今回のリリースではGoogleが開発したソフトウェア構成分析用ライブラリー「OSV-SCALIBR」の機能を、前身の「OSV-Scanner」に統合した。これによって、.NETやPython、JavaScript、Haskellなどの言語で使用される依存関係ファイルをより幅広く解析できるようになった。さらにNode.jsのモジュール、Pythonのホイール、JavaのUber JAR、Goのバイナリーといったアーティファクトにも対応している。

　これまでのOSV-Scannerではソースコードリポジトリーやパッケージ管理ファイルのスキャンなどに重点を置いていたが、OSV-Scanner V2ではDebian、Ubuntu、Alpineといった「Linuxディストリビューション」のコンテナイメージの解析が可能になった。特にパッケージがどのレイヤーで導入されたかの特定や、ベースイメージの特定、新しい脆弱性フィルタリング機能などが追加されている。

　脆弱性スキャン結果の可視化も大幅に向上している。新たに追加されたインタラクティブなHTML出力機能によって、脆弱性の深刻度別の分類やパッケージごとのフィルタリング、レイヤー情報の可視化が可能となった。より直感的にスキャン結果を確認し、適切に対応できる。

　npm向けの「Guided Remediation」と呼ばれる機能にJava向けプロジェクト管理ツール「Maven」がサポートされている。この機能によってMavenのpom.xmlファイルを解析し、直接的および間接的な依存関係の脆弱性を修正するための推奨アップデートを提供する。さらにローカルの親pomファイルの変更を含むpom.xmlファイルの読み取りおよび書き込みをサポートするなどより柔軟な依存関係管理が可能となった。

　OSV-Scannerのさらなる進化も計画されており、具体的には次のような機能強化が予定されている。

• OSV-SCALIBRとのさらなる統合：　OSV-ScannerとOSV-SCALIBRの統合を進め、OSV-SCALIBRの機能をOSV-ScannerのCLIインタフェースに導入する
• 対応エコシステムの拡大：　より多くのプログラミング言語やコンテナスキャンのOSアドバイザリー、ソースコードのロックファイル解析の拡充を予定している
• コンテナの完全なファイルシステム解析：　インターネットからダウンロードされたサイドロードバイナリーを含むコンテナ内の全てのファイルを把握できるようにする
• 到達可能性分析：　脆弱性の影響範囲をより詳細に分析できるようにする
• VEX（Vulnerability Exchange）サポート：　脆弱性情報の共有とコラボレーションを改善するため、VEXのサポート追加を予定している

　OSV-Scanner V2.0.0は「GitHub」のOSV-ScannerまたはOSV-SCALIBRリポジトリーで公開されており、誰でも利用・貢献できる。Googleはユーザーからのフィードバックを期待しており、今後も脆弱性管理の利便性を向上させる取り組みを継続していく方針だ。