你是否曾因一个未及时更新的第三方库,导致整个应用暴露在已知高危漏洞之下?OSV-Scanner 正是为此而生——一款由 Google 官方维护、专为开发者打造的开源依赖漏洞扫描工具。它不依赖复杂环境或中心化服务,而是直接对接全球权威的开源漏洞数据库 OSV.dev,在几秒内精准识别你项目中所有受 CVE/CWE 影响的依赖包。无论是刚起步的个人项目,还是大型企业级微服务集群,它都能成为你 CI/CD 流水线中沉默却可靠的安全守门员。
核心功能
- 跨语言全覆盖:原生支持 Go、Python、Java、JavaScript、Rust、Ruby、PHP、C/C++、Dart、Elixir、R 等 11+ 主流编程语言,无需为不同技术栈切换工具
- 多包管理器直连:自动解析 npm、yarn、pip、poetry、maven、gradle、go mod、cargo、composer、gem、apk 等数十种锁文件与清单,连 Dockerfile 和 lockfile 嵌套场景也能智能提取
- 离线优先 + 实时可信:默认使用本地缓存的 OSV 漏洞数据(每日自动更新),也可按需启用实时网络查询;所有数据均来自开源、透明、可验证的 OSV 数据库
- CI/CD 友好集成:提供简洁的 CLI 接口、结构化 JSON/SPDX/SARIF 输出格式,轻松嵌入 GitHub Actions、GitLab CI、Jenkins 等流程,支持失败阈值配置(如“发现中危以上漏洞即阻断构建”)
- 精准影响分析:不止告诉你“某库有漏洞”,更明确指出该漏洞是否实际影响你的项目版本范围(基于语义化版本比对),大幅减少误报和噪音
- 零配置快速启动:在项目根目录执行一条命令即可完成全量扫描,无需编写规则、定义策略或维护签名库,新手 30 秒上手,老手 3 秒提速
适合哪些人用
这款工具特别适合:一线开发工程师(日常提交前自查依赖风险)、DevSecOps 工程师(构建标准化安全门禁)、开源项目维护者(响应安全通告、主动披露修复进展)、高校教学团队(在软件工程/网络安全课程中演示真实漏洞生命周期),以及任何重视软件供应链安全但不想被重型 SCA 工具绑架的中小技术团队。
快速上手
安装极其简单(任选其一):
• macOS:通过 Homebrew brew install osv-scanner
• Linux/macOS:一键下载二进制 curl -sSfL https://raw.githubusercontent.com/google/osv-scanner/main/install.sh | sh -s
• Windows:使用 Scoop scoop bucket add osv-scanner https://github.com/google/osv-scanner.git && scoop install osv-scanner
• 或直接从 GitHub Releases 页面 下载预编译包
使用只需一行命令:osv-scanner --scan-path=.(扫描当前目录所有支持的锁文件)。添加 --format=json 可导出机器可读报告,搭配 --config=.osv-scanner.toml 还能自定义忽略规则与严重等级阈值。
项目信息
google/osv-scanner
GitHub
Vulnerability scanner written in Go which uses the data provided byhttps://osv.dev
9.2k
今日 +350 stars today
Stars
602
Forks
Go
Apache-2.0
编程语言:Go|GitHub Star 数:9214|开源协议:Apache-2.0|GitHub 项目地址
它是 Google 开源生态中少有的「小而美」安全工具——不造轮子、专注连接、极致可靠,让每个开发者都能轻松拥有顶级开源漏洞情报能力。
