[巷のセキュリティツール] OSV-Scannerを使ってみた

Googleが開発しているOSSの脆弱性スキャンツールがあったので使ってみた。

OSV-Scannerはプロジェクトで使用しているライブラリに存在する脆弱性を見つけることができるツールです。OSVデータベースから情報を取って来てGemfile.lockやpackege-lock.json等のロックファイルに記述された依存ライブラリの脆弱性を見つけてくれるんだってさ。

Goで書かれており、scoopやhomebrewの環境であればすぐに使える。

インストール方法

Macユーザなら下記でok

# brew install osv-scanner

aptとかの場合、先にgolangをインストールしておく必要がある。

私の環境はaptなのでやむなくソースからインストール必要があった。

sudo apt install -y golang-go
go install github.com/google/osv-scanner/cmd/osv-scanner@v1

1 2	sudo apt install -y golang-go go install github.com/google/osv-scanner/cmd/osv-scanner@v1

ソースからインストールするのは別に難しくないのですぐにつかえるよ。

使い方

インストールしたらosv-scannerコマンドが使用できます。

-L でロックファイルを指定するだけ。簡単。

osv-scanner -L package-lock.json

1	osv-scanner -L package-lock.json

実際にロックファイルを指定して実行してみるとこんな感じ

osv-scanner -L package-lock.json
Scanned /home/z/gatsby-digital-garden/package-lock.json file and found 2475 packages
╭───────────────────────────────────────────────────┬───────────┬─────────────────┬─────────┬───────────────────╮
│ OSV URL (ID IN BOLD)                              │ ECOSYSTEM │ PACKAGE         │ VERSION │ SOURCE            │
├───────────────────────────────────────────────────┼───────────┼─────────────────┼─────────┼───────────────────┤
│ https://osv.dev/vulnerability/GHSA-whgm-jr23-g3j9 │ npm       │ ansi-html       │ 0.0.7   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-7gc6-qh9x-w6h8 │ npm       │ cross-fetch     │ 3.1.4   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-36jr-mh4h-2g58 │ npm       │ d3-color        │ 1.4.1   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-r7qp-cfhv-p84w │ npm       │ engine.io       │ 4.1.2   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-6h5x-7c5m-7cr7 │ npm       │ eventsource     │ 0.1.6   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-ww39-953v-wcq6 │ npm       │ glob-parent     │ 3.1.0   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-pfrx-2q88-qq97 │ npm       │ got             │ 10.7.0  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-pfrx-2q88-qq97 │ npm       │ got             │ 7.1.0   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-pfrx-2q88-qq97 │ npm       │ got             │ 8.3.2   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-pfrx-2q88-qq97 │ npm       │ got             │ 9.6.0   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-f8q6-p94x-37v3 │ npm       │ minimatch       │ 3.0.3   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-f8q6-p94x-37v3 │ npm       │ minimatch       │ 3.0.4   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-r683-j2x4-v87g │ npm       │ node-fetch      │ 2.6.1   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-5rrq-pxf6-6jx5 │ npm       │ node-forge      │ 0.10.0  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-8fr3-hfg3-gpgp │ npm       │ node-forge      │ 0.10.0  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-gf8q-jrpm-jvxq │ npm       │ node-forge      │ 0.10.0  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-2r2c-g63r-vccr │ npm       │ node-forge      │ 0.10.0  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-cfm4-qjh2-4765 │ npm       │ node-forge      │ 0.10.0  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-x4jg-mjrx-434g │ npm       │ node-forge      │ 0.10.0  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-rp65-9cf3-cjxr │ npm       │ nth-check       │ 1.0.2   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-3j8f-xvm3-ffx4 │ npm       │ parse-path      │ 4.0.4   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-j9fq-vwqv-2fm2 │ npm       │ parse-url       │ 6.0.5   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-pqw5-jmp5-px4v │ npm       │ parse-url       │ 6.0.5   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-566m-qj78-rww5 │ npm       │ postcss         │ 6.0.23  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-5q6m-3h65-w53x │ npm       │ react-dev-utils │ 4.2.3   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-44c6-4v22-4mhx │ npm       │ semver-regex    │ 2.0.0   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-4x5v-gmq8-25ch │ npm       │ semver-regex    │ 2.0.0   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-gp95-ppv5-3jc5 │ npm       │ sharp           │ 0.27.2  │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-g4rg-993r-mgx7 │ npm       │ shell-quote     │ 1.6.1   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-w5p7-h5w8-2hfq │ npm       │ trim            │ 0.0.1   │ package-lock.json │
│ https://osv.dev/vulnerability/GHSA-6fc8-4gx4-v693 │ npm       │ ws              │ 7.4.5   │ package-lock.json │

osv-scanner -L package-lock.json

Scanned /home/z/gatsby-digital-garden/package-lock.json file and found 2475 packages

╭───────────────────────────────────────────────────┬───────────┬─────────────────┬─────────┬───────────────────╮

│ OSV URL (ID IN BOLD) │ ECOSYSTEM │ PACKAGE │ VERSION │ SOURCE │

├───────────────────────────────────────────────────┼───────────┼─────────────────┼─────────┼───────────────────┤

│ https://osv.dev/vulnerability/GHSA-whgm-jr23-g3j9 │ npm │ ansi-html │ 0.0.7 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-7gc6-qh9x-w6h8 │ npm │ cross-fetch │ 3.1.4 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-36jr-mh4h-2g58 │ npm │ d3-color │ 1.4.1 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-r7qp-cfhv-p84w │ npm │ engine.io │ 4.1.2 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-6h5x-7c5m-7cr7 │ npm │ eventsource │ 0.1.6 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-ww39-953v-wcq6 │ npm │ glob-parent │ 3.1.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-pfrx-2q88-qq97 │ npm │ got │ 10.7.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-pfrx-2q88-qq97 │ npm │ got │ 7.1.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-pfrx-2q88-qq97 │ npm │ got │ 8.3.2 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-pfrx-2q88-qq97 │ npm │ got │ 9.6.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-f8q6-p94x-37v3 │ npm │ minimatch │ 3.0.3 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-f8q6-p94x-37v3 │ npm │ minimatch │ 3.0.4 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-r683-j2x4-v87g │ npm │ node-fetch │ 2.6.1 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-5rrq-pxf6-6jx5 │ npm │ node-forge │ 0.10.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-8fr3-hfg3-gpgp │ npm │ node-forge │ 0.10.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-gf8q-jrpm-jvxq │ npm │ node-forge │ 0.10.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-2r2c-g63r-vccr │ npm │ node-forge │ 0.10.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-cfm4-qjh2-4765 │ npm │ node-forge │ 0.10.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-x4jg-mjrx-434g │ npm │ node-forge │ 0.10.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-rp65-9cf3-cjxr │ npm │ nth-check │ 1.0.2 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-3j8f-xvm3-ffx4 │ npm │ parse-path │ 4.0.4 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-j9fq-vwqv-2fm2 │ npm │ parse-url │ 6.0.5 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-pqw5-jmp5-px4v │ npm │ parse-url │ 6.0.5 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-566m-qj78-rww5 │ npm │ postcss │ 6.0.23 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-5q6m-3h65-w53x │ npm │ react-dev-utils │ 4.2.3 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-44c6-4v22-4mhx │ npm │ semver-regex │ 2.0.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-4x5v-gmq8-25ch │ npm │ semver-regex │ 2.0.0 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-gp95-ppv5-3jc5 │ npm │ sharp │ 0.27.2 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-g4rg-993r-mgx7 │ npm │ shell-quote │ 1.6.1 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-w5p7-h5w8-2hfq │ npm │ trim │ 0.0.1 │ package-lock.json │

│ https://osv.dev/vulnerability/GHSA-6fc8-4gx4-v693 │ npm │ ws │ 7.4.5 │ package-lock.json │

OSVデータベースのリンクが整形されて表示される。
良い感じなのでは？

できたらCVEも見れるといいんだけどなぁ。
一度リンク踏まないといけないのはちょっと面倒くさい。

色々試してみてたら --jsonパラメータを追加すると、CVEもみれた。

osv-scanner --json -L package-lock.json

1	osv-scanner --json -L package-lock.json

修正されたバージョン番号も含まれているし、summaryも含まれているので

デプロイ前に実行したり、CI/CDフローで使いやすそう。

--jsonをつけないで実行した結果は扱いづらい。
見た目が良い以外でまったく役にたたん。 --jsonは必須な気がするね。

一次情報

詳しく知りたい人は、公式のGithubみてね。

じゃあね～～。