OSV-Scanner（开源代码扫描）

####################
免责声明：工具本身并无好坏，希望大家以遵守《网络安全法》相关法律为前提来使用该工具，支持研究学习，切勿用于非法犯罪活动，对于恶意使用该工具造成的损失，和本人及开发者无关。
####################

OSV Scanner由谷歌团队开发，发布于2022 年 12 月 13 日。开源市场也不乏能有效扫描静态代码漏洞的SCA（软件成分分析）工具。但作为“新秀”，OSV从OSV.dev 开源漏洞数据库中提取并适用于不同的生态系统，其漏洞来源和支持的语言更加广泛，可以很好地为DevOps 团队降本增效。

主要功能

依赖项和漏洞定位

以JSON格式存储受影响版本的信息，便于开发集成

扫描目录、软件物料清单（SBOM）、锁定文件、基于Debian的docker镜像或在Docker容器中运行的软件

项目地址：https://github.com/google/osv-scanner

原文始发于微信公众号（菜鸟小新）：OSV-Scanner（开源代码扫描）