OSV.dev — твой личный щит от уязвимостей в open source

OSV.dev — это распределённая базу уязвимостей специально под open source. Не сухую NVD с кучей ложных срабатываний, а точную, понятную разработчикам штуку, которая говорит: «Вот эта версия пакета у тебя уязвима, а вот эта — уже нет. И вот как пофиксить».

Что такое OSV.dev

Представь огромный склад всех известных дыр в open source пакетах. Но вместо того чтобы сваливать туда всё в кучу (как в обычных базах), Google сделал так:

• Каждый «баг» описан в специальном OSV-формате (JSON-схема от OpenSSF).
• Там точно указано, какие версии пакета или даже какие git-коммиты уязвимы.
• Данные берутся не «откуда попало», а из авторитетных источников каждой экосистемы: GitHub Security Advisories, PyPA, RustSec, Debian, Ubuntu, OSS-Fuzz и ещё 20+.

На момент февраля 2026 в базе больше 585 000 уязвимостей. Самые жирные экосистемы:

• npm — 214k+
• Debian — 52k+
• Ubuntu — 50k+
• PyPI — 17k+ и т.д.

Сайт: https://osv.dev/ Документация: https://google.github.io/osv.dev/

Почему это круче, чем обычные CVE/NVD

Обычные базы говорят: «У пакета уязвимость, версия от 1.0 до 10.0». А ты сидишь и думаешь: «А моя 2.3.4 попадает или нет?»

OSV говорит точно:

"affected": [

{

"package": { "ecosystem": "PyPI", "name": "jinja2" },

"ranges": [

{

"type": "SEMVER",

"events": [

{ "introduced": "2.4.1" },

{ "fixed": "3.1.0" }

]

}

]

}

]

Или даже по git-коммитам: «уязвимо всё от коммита abc123 до def456».

Плюс есть алиасы (CVE-2023-12345 → OSV-2023-XYZ), ссылки, severity, детали на человеческом языке.

Как это работает

1. Авторитетные источники (Debian, PyPI и т.д.) публикуют уязвимости в OSV-формате.
2. OSV.dev агрегирует их, обогащает (делает бисекцию по коммитам, считает версии, добавляет PURL).
3. Всё лежит в публичном GCS-бакете gs://osv-vulnerabilities и доступно через API.
4. Обновления — каждые несколько минут.

Никаких «ручных» обновлений баз — всё автоматически и открыто.

Как использовать OSV.dev: 4 уровня от новичка до про

Уровень 1. Просто посмотреть на сайте

Зайди на https://osv.dev/ → введи название пакета или CVE. Увидишь все известные дыры, affected версии, фиксы, ссылки.

Уровень 2. OSV-Scanner — твой CLI-охранник

Установка (один раз):

go install github.com/google/osv-scanner/v2/cmd/osv-scanner@v2

# или через Homebrew (macOS):

brew install osv-scanner

Самые полезные команды:

Сканировать весь проект рекурсивно (ищет все lock-файлы сам):

osv-scanner -r .

Сканировать конкретный lock-файл (npm, poetry, requirements.txt, Cargo.lock и т.д.):

osv-scanner --lockfile=package-lock.json

osv-scanner --lockfile=poetry.lock

Сканировать Docker-образ:

osv-scanner scan image --serve alpine:3.12

Автоматически фиксить (экспериментальная фича, но уже огонь):

# Интерактивно

osv-scanner fix -M package.json -L package-lock.json

# Неинтерактивно

osv-scanner fix --non-interactive --strategy=in-place -L package-lock.json

Вывод в JSON (чтобы скормить Claude):

osv-scanner -r . --format json > vulnerabilities.json

Уровень 3. GitHub Actions

Создай файл .github/workflows/osv-scan.yml:

name: OSV Scan

on:

push:

branches: [ main ]

pull_request:

jobs:

osv-scan:

runs-on: ubuntu-latest

steps:

- uses: actions/checkout@v4

- uses: google/osv-scanner-action@v1

with:

scan-args: |--lockfile=package-lock.json

Готово. Каждый PR будет проверяться автоматически.

Уровень 4. API (когда хочешь полный контроль)

Публичный, без ключей, без лимитов (на момент 2026).

Примеры curl:

Проверить коммит:

curl -X POST -d '{"commit": "6879efc2c1596d11a6a6ad296f80063b558d5e0f"}' \

https://api.osv.dev/v1/query

Проверить версию пакета:

curl -X POST -d '{

"version": "2.4.1",

"package": {

"name": "jinja2",

"ecosystem": "PyPI"

}

}' https://api.osv.dev/v1/query

Batch-запрос (много пакетов сразу) — смотри в docs.

Как это всё вписать в ИИ

Промпт №1: «Сделай мой проект безопасным с нуля»

Создай полный GitHub workflow с osv-scanner в CI/CD.

Плюс добавь pre-commit hook, который запускает osv-scanner локально.

Плюс скрипт update-deps.sh, который обновляет зависимости и сразу проверяет OSV.

Всё в одном сообщении, готово к копипасту.

Промпт №2: «Проанализируй отчёт и почини»

Вот вывод osv-scanner в JSON: [вставь содержимое vulnerabilities.json]

Для каждого уязвимого пакета:

1. Объясни простыми словами, что сломано.

2. Предложи минимальное обновление версии.

3. Напиши команду для обновления именно этого пакета.

4. Скажи, нужно ли менять код после обновления.

Отвечай в формате Markdown + готовые команды.

Промпт №3: «Интегрируй OSV API прямо в мой бот»

Напиши Python-функцию check_dependencies_vulnerabilities(), которая:

- парсит requirements.txt или pyproject.toml

- делает batch-запрос к https://api.osv.dev/v1/querybatch

- если находит уязвимости с severity HIGH/CRITICAL — отправляет мне уведомление в Telegram.

Используй aiohttp + pydantic. Добавь кэширование на Redis.

Промпт №4: «Сделай дашборд безопасности»

Создай простой Streamlit-дашборд, который каждые 6 часов:

- запускает osv-scanner на моём репозитории

- показывает красивую таблицу уязвимостей

- отправляет summary в Telegram если есть critical.

Полный код + инструкция деплоя на Railway.

Claude Opus 4.6 и Codex 5.3 работают с этим отлично.

Полезные лайфхаки

• Запускай osv-scanner -r . перед каждым git push — привычка за 3 дня.
• В pre-commit-config.yaml добавь hook osv-scanner
• Если проект на Docker — сканируй образы в CI, а не только исходники.
• Сохраняй отчёты в Git — потом легко трекать, когда дыра закрылась.
• Для монопо (много пакетов) используй --format json + скрипт на Python, который парсит и красиво выводит.

Минусы

• Не все уязвимости ещё в базе (но покрытие растёт очень быстро).
• Для совсем свежих 0-day может быть задержка 1–2 дня.
• Remediation fix пока экспериментальный — иногда нужно ручками.

Ссылки:

• https://osv.dev/
• https://google.github.io/osv-scanner/
• https://google.github.io/osv.dev/api/
• GitHub: https://github.com/google/osv-scanner