OSVデータベースとは【用語集詳細】
OSVデータベース(Open Source Vulnerabilities Database)は、Googleが公開するオープンソースプロジェクトに関する脆弱性データベースです。
OSVは、OSVスキーマや参照用API、ツールから集積した脆弱性情報を提供し、オープンソースプロジェクトやオープンソースの利用における脆弱性の管理を効率化する目的で作成されました。
OSVを利用することにより、オープンソース内部の依存性に潜む脆弱性を検知し、また発見した脆弱性をデータベースに追加することができます。
OSVで用いられているフォーマットであるOpenSSF OSVフォーマットは、人間・機械の双方に理解可能な形式であり、脆弱性管理の自動化ができるよう設計されています。
Googleは、ソフトウェア・サプライチェーンの透明化の観点から、OSVが、2021年に発出されたアメリカ合衆国大統領令「国家サイバーセキュリティの向上」に示すベストプラクティスにも沿ったものであると説明しています。
OSVは現在、Android、Debian、Linux、Go、npm、NuGet、PyPI、RubyGemsなど様々なOS、言語、ライブラリの脆弱性を蓄積しています。
2022年12月には、OSVデータベースをより効率的に利用するためのツールOSV-Scannerが公開されました。
