OSV
定義
オープンソースパッケージの脆弱性を、パッケージエコシステム、バージョン範囲、コミットなど開発者が扱いやすい形で提供する分散型データベースとスキーマ。
詳細解説
OSVはパッケージ名とバージョンから影響有無を照会しやすい形式を採用しています。結果は依存関係の実態、到達可能性、VEX、修正版、公開元アドバイザリと照合し、検出件数だけで緊急度を決めません。
ポイント
- 初心者向けには「利用中のOSSパッケージとバージョンから脆弱性を照合しやすい公開データベース」と捉える
- CVEが付かないアドバイザリも扱えるが、ベンダーやプロジェクトの一次情報も確認する
- SBOMと組み合わせると、利用中コンポーネントの機械的な照合に使いやすい
関連用語
公式情報・参考情報
よくある質問
OSVとは?
オープンソースパッケージの脆弱性を、パッケージエコシステム、バージョン範囲、コミットなど開発者が扱いやすい形で提供する分散型データベースとスキーマ。
OSVについて詳しく知るには?
OSVはパッケージ名とバージョンから影響有無を照会しやすい形式を採用しています。結果は依存関係の実態、到達可能性、VEX、修正版、公開元アドバイザリと照合し、検出件数だけで緊急度を決めません。
OSVのポイントは?
初心者向けには「利用中のOSSパッケージとバージョンから脆弱性を照合しやすい公開データベース」と捉える CVEが付かないアドバイザリも扱えるが、ベンダーやプロジェクトの一次情報も確認する SBOMと組み合わせると、利用中コンポーネントの機械的な照合に使いやすい
同じカテゴリの用語(ツール・製品)
複数のLLM APIやAI利用を中継し、認証、監査、レート制限、ポリシー、コスト管理を集約するゲートウェイ。…
複数のAPIへの入口を集約し、認証、ルーティング、レート制限、ログ取得などを担う中継コンポーネント。…
コンテナイメージ、パッケージ、ビルド成果物などを保存・配布するためのレジストリ。…
想定された攻撃シナリオを安全な範囲で継続的に実行し、防御・検知・制御の有効性を検証する仕組み。…
クラウド上で暗号鍵を作成、保管、利用、監査する鍵管理サービスの総称。…
AWSアカウント内のAPI操作や管理イベントを記録する監査ログサービス。誰が何を変更したかの追跡に使う。…