メインコンテンツへスキップ
ツール・製品

OSV

Open Source Vulnerabilities

オープンソースパッケージの脆弱性を、パッケージエコシステム、バージョン範囲、コミットなど開発者が扱いやすい形で提供する分散型データベースとスキーマ。

OSVはパッケージ名とバージョンから影響有無を照会しやすい形式を採用しています。結果は依存関係の実態、到達可能性、VEX、修正版、公開元アドバイザリと照合し、検出件数だけで緊急度を決めません。

  • 初心者向けには「利用中のOSSパッケージとバージョンから脆弱性を照合しやすい公開データベース」と捉える
  • CVEが付かないアドバイザリも扱えるが、ベンダーやプロジェクトの一次情報も確認する
  • SBOMと組み合わせると、利用中コンポーネントの機械的な照合に使いやすい

よくある質問

OSVとは?

オープンソースパッケージの脆弱性を、パッケージエコシステム、バージョン範囲、コミットなど開発者が扱いやすい形で提供する分散型データベースとスキーマ。

OSVについて詳しく知るには?

OSVはパッケージ名とバージョンから影響有無を照会しやすい形式を採用しています。結果は依存関係の実態、到達可能性、VEX、修正版、公開元アドバイザリと照合し、検出件数だけで緊急度を決めません。

OSVのポイントは?

初心者向けには「利用中のOSSパッケージとバージョンから脆弱性を照合しやすい公開データベース」と捉える CVEが付かないアドバイザリも扱えるが、ベンダーやプロジェクトの一次情報も確認する SBOMと組み合わせると、利用中コンポーネントの機械的な照合に使いやすい

← 用語集一覧に戻る
ESC