Google unterstützt Entwickler mit dem sogenannten Open-Source-Vulnerability-, kurz OSV-Scanner. Das Tool nutzt die seit 2021 bereitgestellte OSV-Datenbank, die bisher nur mit APIs zugreifbar war. Dadurch lassen sich Anfälligkeiten schnell erkennen und patchen.
Die Schwachstellen-Datenbank osv.dev lässt sich manuell durchsuchen und sowohl über eine API als auch mit dem Google OSV-Scanner nutzen.
(Bild: Joos / Google)
Der Google OSV-Scanner steht für Windows, Linux und in Docker-Containern bereit, um in Paketen nach Abhängigkeit und Schwachstellen auf Basis der Open-Source-Datenbank osv.dev zu suchen.
(Bild: Joos / Microsoft)
Mit dem kostenlosen und quelloffenen OSV-Scanner von Google lassen sich vorhandene Open-Source-Pakete inklusive deren Abhängigkeiten auf Sicherheitslücken hin überprüfen. Parallel zu lokal gespeicherten Paketen kann der OSV-Scanner auch Docker-Container und die darin installierten Pakete auf Schwachstellen untersuchen. Der OSV-Scanner ist das offiziell unterstützt Frontend für Googles OSV-Datenbank.
Das Tool wurde in Go entwickelt. Der OSV-Scanner soll verlässliche, qualitativ hochwertige Schwachstelleninformationen sammeln, auf deren Basis sich bekannte Sicherheitslücken schnell schließen lassen. Nutzende erkennen außerdem, welche Open-Source-Produkte im eigenen Netzwerken Schwachstellen aufweisen. Die Open-Source-Plattform unterstützt alle wichtigen Sprachen, diverse Linux-Distributionen sowie Android, Linux-Kernel und OSS-Fuzz für die Suche nach Schwachstellen.
Jede Abhängigkeit enthält bekannte Schwachstellen oder potenzielle neue Schwachstellen, die jederzeit entdeckt werden könnten. Nur Tools wie der OSV-Scanner können Schwachstellen automatisiert auf die Spur kommen. Die U.S. Executive Order for Cybersecurity aus dem Jahr 2021 stellt diese Art der Automatisierung als Anforderung für nationale Standards zur sicheren Softwareentwicklung.
Wenn Entwickler den OSV-Scanner für die Untersuchung ihres Projektes nutzen, werden zunächst alle transitiven Abhängigkeiten gefunden, die durch die Analyse von Manifesten, SBOMs und Commit-Hashes verwendet werden. Der Scanner nutzt danach diese Informationen für die Suche nach Schwachstellen in der OSV-Datenbank und zeigt die für ein Projekt relevanten Lücken an. Zusätzlich ist der OSV-Scanner auch in die Schwachstellenprüfung der OpenSSF Scorecard integriert.
Google OSV-Scanner setzt auf die Online-Datenbank OSV.dev
Als Basis nutzt der Google OSV-Client daher die Datenbank, die Google bereits seit 2021 zur Verfügung stellt. Der Google OSV-Scanner steht als Open Source unter der Apache 2-Lizenz zur Verfügung. Neben Linux kann das Tool in Windows zum Einsatz kommen. Auf der GitHub-Seite des Projektes stehen alle OSV-Scanner-Versionen kostenlos zum Download bereit.
Die Schwachstellen-Datenbank osv.dev lässt sich manuell durchsuchen und sowohl über eine API als auch mit dem Google OSV-Scanner nutzen.
(Bild: Joos / Google)
Die „Open Source Vulnerabilities“-Datenbank steht seit Februar 2021 mit dem Ziel zur Verfügung, die Suche nach Sicherheitslücken für Entwickler und Benutzer von Open-Source-Software zu automatisieren und zu verbessern. Die Schwachstellen-Datenbanken folgen einem verteilten Modell. Da verschiedene OSV-Datenbanken ein eigenes Format zur Beschreibung von Schwachstellen verwenden, muss ein Client, der Schwachstellen in mehreren Datenbanken nutzen soll, jede vollständig separat unterstützen.
Das Google Open Source Security-Team, das Go-Team und die Community haben daher ein Schema für den Austausch von Schwachstellen entwickelt. Die Open-Source-Datenbank osv.dev nutzt dieses Schema und der OSV-Client unterstützt es ebenfalls, um Schwachstellen in der gescannten Software auf Basis der Informationen von osv.dev zu finden. Dadurch ist eine Automatisierung der Schwachstellensuche möglich.
Praxis: OSV-Scanner herunterladen und nutzen
Der Download erfolgt als ausführbare Datei, die im Terminal ausgeführt werden kann. Alle Informationen zu den einzelnen Parametern zeigt das Tool mit der folgenden Syntax an:
osv-scanner_1.1.0_windows_amd64.exe --help
Die Version des Scanners lässt sich wiederum mit dem folgenden Befehl anzeigen:
osv-scanner_1.1.0_windows_amd64.exe --version
Um Pakete in einem Verzeichnis zu scannen, kommt zum Beispiel der folgende Befehl zum Einsatz:
osv-scanner -r <Verzeichnis mit Paketen>
Durch diesen Befehl sammelt der OSV-Scanner eine Liste von Abhängigkeiten und Versionen von Paketen, die im Verzeichnis gespeichert sind. Diese Liste gleicht das Tool über die osv.dev-API mit der OSV-Datenbank ab. Wichtig ist an dieser Stelle, dass entweder alle Pakete in diesem Verzeichnis gespeichert sind oder dass alle Verzeichnisse nacheinander überprüft werden.
Durch die Verwendung von „--recursive / -r“ durchsucht das Tool alle Unterverzeichnisse im angegebenen Pfad. Die Suche nach dem Git-Commit-Hash ist für Projekte optimiert, die Git-Submodule oder einen ähnlichen Mechanismus verwenden, bei dem Abhängigkeiten als Git-Repositories ausgecheckt werden. Der OSV-Scanner unterstützt SBOM-Tools und kann SPDX-Dateien nutzen. Die Syntax dazu ist:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
osv-scanner --sbom<Pfad>/sbom.json
Der OSV-Scanner nutzt dabei verschiedene Lockfiles. Um ein Lockfile zu nutzen, kommt zum Beispiel der folgende Befehl zum Einsatz:
Der OSV-Scanner kann an die eigenen Anforderungen angepasst werden. Dazu wird eine Datei „osv-scanner.toml“ erstellt und im OSV-Scanner-Verzeichnis gespeichert. Beim Start von OSV-Scanner kann diese Konfigurationsdatei als Parameter mitgegeben werden, zum Beispiel mit:
--config=/path/to/config.toml
Findet der OSV-Scanner Schwachstellen, zeigt das Tool die Daten in einer Tabelle an. Mit dem Parameter „--json“ ist es möglich, die Ausgabe direkt in einer JSON-Datei zu speichern.
Docker-Container auf Schwachstellen überprüfen
Google OSV-Scanner unterstützt Docker als Basis und kann Pakete in Docker-Containern auf Schwachstellen überprüfen.
(Bild: Joos / Canonical)
Neben dem Durchsuchen von Paketen nach Schwachstellen ist Google OSV-Scanner dazu in der Lage, innerhalb von Docker-Containern nach Schwachstellen in den installierten Paketen zu suchen. Die Syntax dazu lautet zum Beispiel:
osv-scanner --docker image_name:latest
Docker-Images lassen sich natürlich nur dann scannen, wenn Docker lokal auf dem entsprechenden Computer installiert ist und der Benutzer, mit dem OSV-Scanner startet, die jeweiligen Berechtigungen hat. OSV-Scanner kann selbst innerhalb von Docker-Containern genutzt werden. Dazu steht das Tool als Container zur Verfügung. Der Download und der Start erfolgen in diesem Fall mit den beiden folgenden Befehlen:
docker pull ghcr.io/google/osv-scanner:latest docker run -it ghcr.io/google/osv-scanner -h
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/e8/72e8ce3f4b573d059393e5a5991e9e2f/0128518662v2.jpeg "Phishing nutzt psychologische Trigger und bleibt trotz Technik gefährlich. Vernetzte Abwehr mit Micro-Trainings, einfachen Meldemechanismen und E-Mail-Authentifizierung senkt Risiken. (Bild: © mk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/f0/49f0dcf29f3c7961c16d8f24bf5cd8dd/0128852664v2.jpeg "Nutzen Cyberkriminelle die kritische Sicherheitslücke in HPE OneView erfolgreich aus, sind sie in der Lage, Zugriff auf Systemressourcen zu erlangen und schädliche Änderungen vorzunehmen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/94/8a/948a5edd42fe80e9ebea60a60ec4af59/0128868821v2.jpeg "Schatten-IT verursacht Kosten und Sicherheitsrisiken. IT-Teams können dem entgegenwirken, indem sie Benutzerfeedback sammeln, die Nutzung von Software analysieren, offizielle Tools optimieren, Compliance in tägliche Workflows integrieren und Sicherheitskultur durch ständige Schulungen fördern. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/30/36/3036cc4341d97f6199ebf92562a18782/0127561631v2.jpeg "Mit Tools wie Clair, Syft, Grype und Docker Bench for Security lassen sich Container-Images, Abhängigkeiten und Hostsysteme durchgängig auf Schwachstellen prüfen. (Bild: © Sergey Novikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/f9/f8f9fbcde05a6a73b3b5a50ad53ffb3b/0126746489v2.jpeg "Ein Synology-NAS lässt sich als zentraler Authentifizierungsdienst nutzen. Wahlweise mit dem integrierten OAuth-Paket oder per Keycloak im Docker-Container. (Bild: © everythingpossible - stock.adobe.com)")