https://blog.eastseven.cn/tags/supply-chain-security/Recent content in Supply-Chain-Security on D7 的知识库Hugozh-cnMon, 27 Apr 2026 00:00:00 +0000https://blog.eastseven.cn/posts/04-devops/osv-scanner---google%E5%BC%80%E6%BA%90%E6%BC%8F%E6%B4%9E%E6%89%AB%E6%8F%8F%E5%99%A8/Mon, 27 Apr 2026 00:00:00 +0000https://blog.eastseven.cn/posts/04-devops/osv-scanner---google%E5%BC%80%E6%BA%90%E6%BC%8F%E6%B4%9E%E6%89%AB%E6%8F%8F%E5%99%A8/<h2 id="简介">简介</h2> <p>OSV-Scanner 是 Google 开源的漏洞扫描工具，基于 Go 编写，使用 <a href="https://osv.dev">OSV.dev</a> 数据库扫描项目依赖中的已知安全漏洞。提供 OSV 数据库的官方前端接口和 OSV-Scalibr 的 CLI 接口。</p> <h2 id="核心特性">核心特性</h2> <ul> <li><strong>多语言支持</strong>: C/C++, Dart, Elixir, Go, Java, JavaScript, PHP, Python, R, Ruby, Rust</li> <li><strong>多包管理器</strong>: npm, pip, yarn, maven, go modules, cargo, gem, composer, nuget 等</li> <li><strong>操作系统包扫描</strong>: 检测 Linux 系统上的 OS 包漏洞</li> <li><strong>容器镜像扫描</strong>: 层级感知的容器漏洞扫描，支持 Alpine/Debian/Ubuntu 基础镜像</li> <li><strong>许可证扫描</strong>: 基于 deps.dev 数据检查依赖许可证合规性</li> <li><strong>离线扫描</strong>: 支持下载本地数据库后离线运行</li> <li><strong>引导修复(Guided Remediation)</strong>: 根据依赖深度、严重程度、修复策略等建议升级方案（实验性）</li> <li><strong>Call Analysis</strong>: 分析是否实际调用了有漏洞的函数，减少误报</li> <li>** Vendored C/C++ 检测**: 扫描内嵌的 C/C++ 代码</li> </ul> <h2 id="链接">链接</h2> <ul> <li>GitHub: <a href="https://github.com/google/osv-scanner">https://github.com/google/osv-scanner</a></li> <li>OSV 数据库: <a href="https://osv.dev">https://osv.dev</a></li> <li>文档: <a href="https://google.github.io/osv-scanner/">https://google.github.io/osv-scanner/</a></li> </ul>