osv-scanner使用说明

于 2025-03-26 10:25:03 发布
阅读量380 收藏 9
点赞数 5
文章标签: 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mosaicwang/article/details/146522050
版权

osv-scanner 2.0 使用说明

1.简介

使用 OSV-Scanner 查找影响项目依赖项的现有漏洞。

OSV-Scanner 为 OSV 数据库提供官方支持的前端,将项目的依赖项列表与影响它们的漏洞连接起来。由于 OSV.dev 数据库是开源和分布式的,与闭源咨询数据库和扫描器相比,它有几个好处:

  • 每个漏洞警报都来自一个开放和权威的来源(例如 RustSec 咨询数据库 )
  • 任何人都可以建议对漏洞警报的改进,从而产生非常高质量的数据库
  • OSV 格式以机器可读的格式明确地存储有关受影响版本的信息,该格式精确地映射到开发人员的软件包列表

GIT地址 : https://github.com/google/osv-scanner
版本 : v2.0.0

2.下载和安装

下载地址 : https://github.com/google/osv-scanner/releases/download/v2.0.0/osv-scanner_linux_amd64

上载到目标服务器上(假设上载到~/tool目录下)

chmod +x ~/tool/osv-scanner_linux_amd64
ln -s ~/tool/osv-scanner_linux_amd64 ~/tool/osv-scanner

查看版本:

~/tool/osv-scanner --version

输出如下 :

osv-scanner version: 2.0.0
commit: 0e986b49c4e7ee5aa545531c4a8908455f8a9e82
built at: 2025-03-17T01:50:11Z

3.使用

以下仅针对镜像和镜像文件,暂时没有针对源码的漏洞扫描示例

前置条件

  • 安装docker。因为需要将镜像保存为本地临时文件,因此需要使用docker命令。如果是扫描本地镜像文件,则无需安装docker

3.1 扫描本地镜像文件(即.tar文件)

~/tool/osv-scanner scan image --serve --archive prometheus-v3.1.0.tar.gz

参数说明 :

  • scan image : 扫描镜像
  • --serve : 在8000端口监听,用于查看扫描结果。比如:本机IP是192.168.132.100,则可通过http://192.168.132.100:8000来查看扫描结果.
  • --archive prometheus-v3.1.0.tar.gz : 指定本地镜像文件的路径和文件名
  • 如果想将扫描结果保存为本地文件,则执行如下命令 :
~/tool/osv-scanner scan image --archive prometheus-v3.1.0.tar.gz --format=html --output prometheus-v3.1.0.html

参数说明 :

  • --format=html : 指定输出的格式。如果没有此参数,则在屏幕上显示表格分隔的结果。除了html,还有json和markdown等格式
  • --output prometheus-v3.1.0.html : 指定存放扫描结果的文件名

上述命令的输出如下:

输出如下 :
Scanning local image tarball "prometheus-v3.1.0.tar.gz"
Starting filesystem walk for root:
End status: 70 dirs visited, 1752 inodes visited, 4 Extract calls, 16.207229ms elapsed, 16.20759ms wall time
Starting filesystem walk for root:
End status: 0 dirs visited, 1 inodes visited, 1 Extract calls, 3.736192ms elapsed, 3.736873ms wall time
Starting filesystem walk for root:
End status: 0 dirs visited, 1 inodes visited, 1 Extract calls, 603.093µs elapsed, 603.291µs wall time
Serving HTML report athttp://localhost:8000/
If you are accessing remotely, use the following SSH command:
`ssh -L local_port:destination_server_ip:8000 ssh_server_hostname`

3.2 扫描镜像

~/tool/osv-scanner scan image prom/mysqld-exporter:v0.16.0

参数说明 :

  • scan image : 扫描镜像
  • --serve : 在8000端口监听,用于查看扫描结果。比如:本机IP是192.168.132.100,则可通过http://192.168.132.100:8000来查看扫描结果
  • prom/mysqld-exporter:v0.16.0 : 指定镜像:版本号.如果指定的镜像不存在,则会通过docker命令从网上拉取

输出结果如下 :

Checking if docker image ("prom/mysqld-exporter:v0.16.0") exists locally...
Saving docker image ("prom/mysqld-exporter:v0.16.0") to temporary file...
Scanning image "prom/mysqld-exporter:v0.16.0"
Starting filesystem walk for root: 
End status: 66 dirs visited, 1743 inodes visited, 3 Extract calls, 1.940169ms elapsed, 1.94032ms wall time
Starting filesystem walk for root: 
End status: 0 dirs visited, 1 inodes visited, 1 Extract calls, 76.157µs elapsed, 76.215µs wall time

Container Scanning Result (Unknown):
Total 4 packages affected by 8 known vulnerabilities (1 Critical, 0 High, 1 Medium, 0 Low, 6 Unknown) from 1 ecosystem.
8 vulnerabilities can be fixed.


Go
╭────────────────────────────────────────────────────────────────────────────────────────────────────────────────╮
│ Source:artifact:bin/mysqld_exporter                                                                            │
├─────────────────────┬───────────────────┬───────────────┬────────────┬──────────────────┬──────────────────────┤
│ PACKAGE             │ INSTALLED VERSION │ FIX AVAILABLE │ VULN COUNT │ INTRODUCED LAYER │ IN BASE IMAGE        │
├─────────────────────┼───────────────────┼───────────────┼────────────┼──────────────────┼──────────────────────┤
│ golang.org/x/crypto │ 0.28.0            │ Fix Available │          2 │ # 7 Layer        │ prom/mysqld-exporter │
│ golang.org/x/net    │ 0.29.0            │ Fix Available │          2 │ # 7 Layer        │ prom/mysqld-exporter │
│ golang.org/x/oauth2 │ 0.23.0            │ Fix Available │          1 │ # 7 Layer        │ prom/mysqld-exporter │
│ stdlib              │ 1.23.3            │ Fix Available │          3 │ # 7 Layer        │ prom/mysqld-exporter │
╰─────────────────────┴───────────────────┴───────────────┴────────────┴──────────────────┴──────────────────────╯

For the most comprehensive scan results, we recommend using the HTML output: `osv-scanner scan image --serve <image_name>`.
You can also view the full vulnerability list in your terminal with: `osv-scanner scan image --format vertical <image_name>`.

3.3 扫描源码

~/tool/osv-scanner scan --serve -r <source_directory>
mosaicwang
关注
使用Google OSV工具扫描依赖安全漏洞
apl359的博客
12-25 1150
安全漏洞是软件工程化能力的试金石2021年年底,Log4j的漏洞陆续被公开。因为该框架被大量的开源软件依赖,所以,漏洞影响面非常大。面对这个漏洞,我们遇到的第一个问题是:如何知道我们哪些工程使用了Log4j?在我看来,这个漏洞是企业软件工程化的一颗非常好的试金石。因为:1.如何第一时间了解到这个漏洞,反应这家企业的安全能力;2.如何第一时间能找到所有使用了Log4j的位置,体现了这家企业第三方...
osv:开源漏洞数据库和分类服务
03-07
OSV-开源漏洞 OSV是用于开源项目的和分类基础结构,旨在帮助开源维护者和开源使用者。 对于开源维护者,OSV的自动化功能有助于减轻分类负担。 每个漏洞都会经过自动的对分和影响分析,以确定精确的受影响提交和版本范围。 对于开源使用者,OSV提供了一个API,使这些项目的用户可以查询其版本是否受到影响。 当前数据源: 这是一个正在进行的项目。 我们希望与开放源代码社区合作,以。 查看网页界面 OSV的Web UI实例部署在。 使用API curl -X POST -d \ ' {"commit": "6879efc2c1596d11a6a6ad296f80063b558d5e0f"} ' \ " https://api.osv.dev/v1/query?key= $API_KEY " curl -X POST -d \ ' {"versio
Google 释出开源软件漏洞扫描工具 OSV-Scanner
开源社KAIYUANSHE的博客
12-21 1300
开源开发人员可在项目使用 OSV-Scanner,透过比对依赖项目和 OSV 漏洞资料库,找出项目的依赖项目中所存在的漏洞。Google 推出免费工具 OSV-Scanner(https://github.com/google/osv-scanner),供开源开发人员可以更简单地存取和项目相关的漏洞资讯。去年 Google 发布开源漏洞(Open Source Vulnerability)架构并且...
探索OSV Scanner:Google的开源漏洞扫描器
gitblog_00096的博客
03-20 1111
探索OSV Scanner:Google的开源漏洞扫描器 osv-scannerVulnerability scanner written in Go which uses the data provided by https://osv.dev项目地址:https://gitcode.com/gh_mirrors/os/osv-scanner 项目简介 在如今的软件开发中,依赖管理是不可或缺的...
OSV-Scanner 使用教程
gitblog_00051的博客
06-17 820
OSV-Scanner 使用教程 osv-scanner Vulnerability scanner written in Go which uses the data provided by https://osv.dev 项目地址: https://gitco...
SVScanner:开源漏洞扫描与大规模利用工具
gitblog_00180的博客
10-10 717
SVScanner:开源漏洞扫描与大规模利用工具 SVScanner SVScanner - Scanner Vulnerability And MaSsive Exploit. 项目地址: https://gitcode.com...
OSV-Scanner 常见问题解决方案
gitblog_00612的博客
01-26 446
OSV-Scanner 常见问题解决方案 osv-scanner Vulnerability scanner written in Go which uses the data provided by https://osv.dev ...
osv-scanner使用方法
最新发布
03-30
### OSV-Scanner使用方法 #### 准备工作 在开始之前,需确认已安装好 Go 语言环境并配置 GOPATH。如果尚未完成此操作,请先按照指南进行设置[^3]。 #### 安装过程 可以通过 `go` 命令来获取最新版本的 OSV-...
osv-scanner如何离线使用
09-30
然而,如果你想离线使用 OSV-Scanner,你需要按照以下步骤操作: 1. **下载安全数据库**:首先,从官方 GitHub 或者发布的离线版本下载包含已知漏洞信息的数据库文件。这通常是 `.osvdb` 或 `.json` 格式的数据集。...
OSV-Scanner
07-22
OSV-Scanner可以帮助开发者在他们的应用程序中识别使用了存在已知安全漏洞的开源软件组件。通过扫描项目的依赖关系,OSV-Scanner可以自动检测并报告项目中使用的开源软件组件是否存在已知的安全漏洞。这有助于开发者...
osv-scanner 扫描springboot项目的pom.xml会出现扫描失败
12-06
使用OSV-Scanner扫描Spring Boot项目的pom.xml文件时,可能会遇到扫描失败的情况。以下是一些可能的原因和解决方法: 1. **依赖项版本不兼容**: - 确保你的pom.xml文件中声明的所有依赖项版本都是兼容的,并且...
osv-scanner 扫描springboot项目时会出现尝试扫描锁文件但失败:D:\MomDev\asahi-kasei file\pom.xml
12-06
使用osv-scanner扫描Spring Boot项目时,出现尝试扫描锁文件但失败的错误,通常是由于以下几个原因导致的: 1. **缺少依赖管理工具**:Spring Boot项目通常使用Maven或Gradle进行依赖管理。如果项目中缺少这些...
探秘高效扫描工具:Scanner by Shaojiankui
gitblog_00097的博客
04-23 466
探秘高效扫描工具:Scanner by Shaojiankui 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个由 Shaojiankui 开发并维护的轻量级、高性能的文件扫描框架,专为 iOS 和 macOS 平台设计。这个项目提供了一个简单易用的 API,让开发者可以快速集成到自己的应用中,实现对设备文件系统的深度扫描和管理。 技术分析 Scanner 基于 ...
SCA——开源安全威胁一网打尽
andre1918的博客
01-10 492
SCA是一项通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。软件成分分析是任何安全开发生命周期的标准基本部分,及时发现问题可以降低成本,提高敏捷性,使软件更安全,并帮助开发团队学会将安全性纳入其规划和设计决策中,对于维护软件安全起到了重要作用。
谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner
Go中国
12-19 566
文章转自 InfoQ近日,谷歌本发布了开源漏洞扫描器 OSV-ScannerOSV-Scanner 是为 OSV 数据库提供官方支持的前端,用 Go 编写,旨在扫描开源应用程序以评估任何合并依赖项的安全性。GitHub 地址:https://github.com/google/osv-scanner谷歌在去年发布了开源漏洞(Open Source Vulnerability)架构并且启动 OSV...
软件开发团队的护网低成本应对方案
明光札记
05-01 954
1、在控制成本与关注核心效果的情况下主要对于0click漏洞进行重点测试加固,对于1click漏洞可以酌情开展;
Windows11渗透工具包分享
MachineGunJoe666
04-27 3413
启动命令:python3 test.py* 已集成本镜像所有python3工具的依赖库* 使用pip3命令调用python3 pip* 启动命令:python test.py* 已集成本镜像所有python2工具的依赖库* 使用pip命令调用python2 pip* 已配置环境变量- Perl v5.36.0 (WIndows下使用频率不高,perl脚本用WSL运行)- Gcc v12.2.0 (由WSL安装内置)* Nginx v1.18.0 默认启动* PHP v7.4。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值