Google、無料オープンソース脆弱性スキャンツール「OSV-Scanner V2.0.0」公開　コンテナスキャンに対応、その他の新機能は？：Mavenの「pom.xml」にも対応

　OSV-SCALIBRの機能がOSV-Scannerに統合された。これにより、プロジェクトやコンテナの依存関係などのスキャンが可能になった。以下のようなソースマニフェストやロックファイル、アーティファクトの抽出に対応しているという。

ソースマニフェストとロックファイル：

• .NET：deps.json
• Python：uv.lock
• JavaScript：bun.lock
• Haskell：cabal.project.freeze、stack.yaml.lock

アーティファクト：

• Node modules
• Python wheels
• Java uber jars
• Go binaries

コンテナ内のレイヤーごとに脆弱性をチェックするコンテナスキャンに対応

　Debian、Ubuntu、AlpineなどのLinuxディストリビューションにおける、コンテナイメージの包括的なスキャンに対応した。コンテナイメージ内の各レイヤーを個別に解析し、どのレイヤーで脆弱性が発生しているかを特定できるようになるという。

　OSV-Scannerは、コンテナイメージを解析し、以下の情報を提供する。

• パッケージが初めて導入されたレイヤー
• レイヤーの履歴とコマンド
• コンテナのベースイメージ（deps.devが提供する新しい実験的APIを活用）
• コンテナが実行されているOS/ディストリビューション
• コンテナイメージに影響を与える可能性が低い脆弱性のフィルタリング

　このレイヤー分析は現在、Go、Java、Node.js、Pythonをサポートしている。

インタラクティブなHTML出力をサポート

　脆弱性スキャン情報を明確に、実用的な方法で提示することは、特にコンテナスキャンでは課題だった。これに対処するため、インタラクティブなローカルHTML出力形式を新たにサポートした。ターミナルのみの出力と比較すると、以下のようにインタラクティブ性が向上し、より多くの情報を提供可能だという。

• 深刻度別の分析結果
• パッケージとIDのフィルタリング
• 脆弱性の重要度フィルタリング
• 完全な脆弱性勧告情報の表示
• レイヤーフィルタリング
• イメージレイヤー情報
• ベースイメージの識別

コンテナイメージスキャン結果のHTML出力の例（提供：Google）

Mavenのpom.xmlに対応

　2024年、Googleはnpm向けに「ガイド付き修正機能」（Guided Remediation）をリリースした。これは、プロジェクト内の脆弱性に優先順位を付け、修正が必要な特定の依存関係や、推奨されるバージョンを提案し、脆弱性管理の効率化を支援する機能だ。

　OSV Scanner V2.0.0では、Mavenで生成されるpom.xmlのスキャンをサポートし、Javaプロジェクトの脆弱性管理を支援する。pom.xmlのサポートに合わせて、以下の機能が追加されている。

• 依存関係のバージョンを直接指定して上書きするオーバーライドに対応
• ローカルの親pomファイルへの変更の書き込みを含む、pom.xmlファイルの読み取りと書き込みに対応
• Mavenのメタデータを取得するためのプライベートレジストリ指定機能を追加
• pom.xml内の依存関係を最新バージョンに更新するための新しい実験的サブコマンドの追加