osv-scanner 是google 基于golang 编写的开源漏洞扫描工具,支持基于osv 数据库的扫描,生态比较好
支持的扫描模式
- lockfiles
- sboms
- git 项目
说明
osv-scanner 支持的扫描语言还是不少的,而且输出格式也比较友好,比如json 格式,我们可以方便的集成使用
实际上当前gitlab 也集成了安全能力,实际上可以互相集成使用
参考资料
https://github.com/google/osv-scannerhttps://osv.dev
https://github.com/package-url/purl-spechttps://cyclonedx.org/https://spdx.dev/
