文章总结： OSV-Scanner是Google推出的开源漏洞扫描工具，专门用于检测项目依赖中的安全威胁。该工具连接开源项目依赖列表与OSV数据库，支持C/C++、Java、Python等主流编程语言和npm、pip、maven等包管理器，具备源码扫描、容器镜像扫描、许可证检查等功能。工具还提供离线扫描模式和引导式修复建议，帮助开发者快速识别和修复依赖安全问题。 综合评分： 85 文章分类： 安全工具,漏洞分析,供应链安全,安全开发,应用安全

漏洞扫描领域的六边形战士降临！这款开源工具让依赖安全问题无处遁形

棉花糖糖糖 棉花糖糖糖

棉花糖网络安全工具箱

2026年5月15日 11:08 四川

在小说阅读器读本章

去阅读

郑重声明：本文仅供技术交流与学习探讨使用。在实际开发与运维过程中，请严格遵循安全规范，确保系统环境的安全性与稳定性。所有技术选型与工具应用均需结合自身业务场景进行评估判断。

重点导读概述

OSV-Scanner 是 Google 安全团队推出的开源漏洞扫描工具，专为识别项目依赖中的安全威胁而设计。该工具连接开源项目依赖列表与 OSV 数据库，为开发者提供全面的漏洞检测能力。核心引擎基于 OSV-Scalibr 库构建，具备高度可扩展性，支持多种编程语言生态与依赖管理方案。

重点导读支持生态

PART 01语言覆盖

工具支持主流编程语言环境，包括 C/C++、Dart、Elixir、Go、Java、JavaScript、PHP、Python、R、Ruby、Rust 等。覆盖范围涵盖系统级语言与应用级语言，满足不同技术栈项目的安全扫描需求。

PART 02包管理集成

兼容的包管理器包括 npm、pip、yarn、maven、go modules、cargo、gem、composer、nuget 等。支持的锁文件类型超过十九种，涵盖主流语言生态的依赖声明与锁定机制。

PART 03扫描范围

除了语言级依赖，该工具还能检测操作系统级漏洞，适用于 Linux 系统包的全面安全审计。容器镜像扫描功能支持layer感知的深度分析，覆盖 Alpine、Debian、Ubuntu 等发行版及 Go、Java、Node、Python 等语言运行时。

重点导读核心功能

PART 04源码扫描

递归扫描指定目录，自动识别项目中的依赖声明文件。调用分析功能可判断漏洞函数是否被实际调用，显著降低误报率。C/C++ 代码的 vendored 依赖检测能力已纳入支持范围。

PART 05容器镜像扫描

对容器镜像进行多层解析，检测操作系统包与语言运行时的安全隐患。支持输出 HTML 格式的详细报告。

容器扫描输出示例

PART 06许可证扫描

集成 deps.dev 数据源，可检查依赖项的许可证合规性。支持 SPDX 格式的允许许可证列表过滤。

PART 07离线扫描

支持本地 OSV 数据库的离线扫描模式。首次下载数据库后可在无网络环境中持续运行，降低对外部服务的依赖。

PART 08引导式修复

实验性功能，提供基于依赖深度、最小严重级别、修复策略、投资回报等维度的版本升级建议。目前支持 npm 生态的 package-lock.json 原位更新、package.json 重锁定，Maven 生态的 pom.xml 版本覆盖。

引导式修复界面

重点导读技术架构

PART 09数据源

漏洞数据来源于 OSV.dev 开放数据库，涵盖主流开源语言与操作系统生态。每条安全公告均来自权威公开来源，包括 GitHub Security Advisories、RustSec Advisory Database、Ubuntu Security Notices 等。OSV 格式以机器可读方式存储受影响版本信息，精确映射开发者依赖列表。

PART 10通信策略

除 OSV.dev API 外，工具调用 deps.dev API 进行依赖解析、容器镜像元数据查询、许可证检索、包废弃状态检查。使用原生注册表时可能直接查询 Maven Central、npm Registry、PyPI。

重点导读安装方式

提供预编译二进制文件下载，支持多平台覆盖。推荐直接下载对应平台的发布版本。也可通过 Go 工具链安装：

bashgo install github.com/google/osv-scanner/v2/cmd/osv-scanner@latest

重点导读命令示例

源码扫描：

bashosv-scanner scan source -r /path/to/your/dir

容器镜像扫描：

bashosv-scanner scan image my-image-name:tag

许可证检查：

bashosv-scanner --licenses path/to/repository

离线模式：

bashosv-scanner --offline --download-offline-databases ./path/to/your/dir

引导式修复：

bashosv-scanner fix --max-depth=3 --min-severity=5 --ignore-dev --strategy=in-place -L path/to/package-lock.json

重点导读项目地址

本公众号非项目作者，仅做技术分享。

texthttps://github.com/google/osv-scanner

广告时间

低价考证包括但不限于CISP系列、PMP等等国内网安证书、网络安全交流群请关注公众号后点菜单栏的找棉花糖。

☟上下滑动查看更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：棉花糖网络安全工具箱 棉花糖糖糖 棉花糖糖糖《漏洞扫描领域的六边形战士降临！这款开源工具让依赖安全问题无处遁形》