x osv - Open Source Vulnerabilities
Query Google OSV database for package vulnerabilities and scan local projects.
Quick Start
CODEBLOCK0�
Features
- - Vulnerability Query: Query OSV database for package vulnerabilities
- Project Scanning: Scan local projects using osv-scanner
- SARIF Reports: Generate SARIF security reports
- Multi-ecosystem: Supports npm, pip, Maven, Go, Rust, etc.
Prerequisites
| Tool | Purpose | Install |
|---|
| x-cmd | Required module runtime | INLINECODE0 |
| osv-scanner |
Project scanning | https://github.com/google/osv-scanner |
Commands
| Command | Description |
|---|
| INLINECODE1 | Query vulnerabilities for a package |
| INLINECODE2 |
Scan project for vulnerabilities (requires osv-scanner) |
|
x osv vuln <id> | Get vulnerability details |
|
x osv sarif | Generate SARIF security reports |
|
x osv eco | List supported ecosystems |
Examples
Query Vulnerabilities
CODEBLOCK1
Scan Projects
CODEBLOCK2
Generate SARIF Reports
CODEBLOCK3�
Supported Ecosystems
View all supported ecosystems:
�CODEBLOCK4
Includes: npm, PyPI, Maven, Go, Rust, NuGet, Packagist, etc.
API Key
No API key required for basic usage. Rate limits apply for unauthenticated requests.
Related
x osv - 开源漏洞
查询谷歌OSV数据库中的软件包漏洞,并扫描本地项目。
快速开始
bash
查询软件包漏洞
x osv q -p jq -v 1.7.1
扫描本地项目漏洞(需要osv-scanner)
x osv scanner .
功能特性
- - 漏洞查询:查询OSV数据库中的软件包漏洞
- 项目扫描:使用osv-scanner扫描本地项目
- SARIF报告:生成SARIF安全报告
- 多生态系统:支持npm、pip、Maven、Go、Rust等
前置条件
| 工具 | 用途 | 安装方式 |
|---|
| x-cmd | 必需模块运行时 | brew install x-cmd |
| osv-scanner |
项目扫描 | https://github.com/google/osv-scanner |
命令列表
| 命令 | 描述 |
|---|
| x osv q <pkg> | 查询软件包漏洞 |
| x osv scanner <path> |
扫描项目漏洞(需要osv-scanner) |
| x osv vuln
| 获取漏洞详情 |
| x osv sarif | 生成SARIF安全报告 |
| x osv eco | 列出支持的生态系统 |
使用示例
查询漏洞
bash
查询特定软件包版本
x osv q -p jq -v 1.7.1
通过提交哈希查询
x osv q -c 6879efc2c1596d11a6a6ad296f80063b558d5e0f
扫描项目
bash
扫描当前目录(需要安装osv-scanner)
x osv scanner .
扫描特定锁定文件
x osv scanner --lockfile requirements.txt
x osv scanner --lockfile package-lock.json
生成SARIF报告
bash
扫描npm项目
x osv sarif npm ./my-project/
扫描pip项目并输出JSON格式
x osv sarif pip ./project/ --json
支持的生态系统
查看所有支持的生态系统:
bash
x osv eco
包括:npm、PyPI、Maven、Go、Rust、NuGet、Packagist等。
API密钥
基本使用无需API密钥。未认证的请求存在速率限制。
相关资源
