OSVスキャナー(OSV-Scanner)は、Googleの開発によるOSV.devデータベースを活用するためのスキャンツールです。複雑に絡み合った外部のソフトウェアライブラリから成る依存関係がもたらすソフトウェアプロジェクトの運用を円滑にするため、それらライブラリに潜在する既知の脆弱性を見つけ出し、管理するために自動化技術が必須となっています。
OSVスキャナーの特徴は、Go言語で作られていることです。仕様するプロジェクトでスキャナーを実行することにより、マニフェストやSBOM、コミットハッシュを基にしてソフトウェア内に存在するライブラリ依存関係を調べ、OSVデータベースから関連する脆弱性の情報を取り出すことができます。’
