osv.dev

一句话介绍

osv.dev 是由 Google 推出的开源漏洞数据库与 API 服务，专注于为开发者提供免费、开放且覆盖多生态的软件包漏洞查询工具。它的核心卖点是“去中心化”和“标准化”，通过整合多个漏洞源（如 GitHub Advisory Database、NVD、PyPI 等），提供统一的漏洞 ID 和机器可读的 API 接口。开发者选择它，往往是因为它开源、无需注册即可使用、且能无缝集成到 CI/CD 或安全扫描工具中，无需额外付费。

业务详解

osv.dev 是 Google 旗下开源安全团队维护的项目，于 2022 年正式推出，旨在解决传统漏洞数据库（如 NVD）更新慢、格式不统一、对开源生态覆盖不全的问题。它并非商业公司，而是一个社区驱动的开源项目，底层数据库和 API 完全公开，任何人都可以部署自用。行业地位上，它属于“开源漏洞数据聚合器”中的新兴力量，与 GitHub Advisory Database 和 Snyk 的 Vulnerability DB 形成竞争。客户类型以个人开发者、开源项目维护者、以及需要自动化漏洞扫描的 DevOps 团队为主，企业用户通常用它作为补充数据源，而非主要依赖。

适合谁用

• 个人开发者：如果你经常使用开源依赖，想快速检查某个包是否有已知漏洞，osv.dev 的 Web 界面和命令行工具（osv-scanner）是最轻量的选择。
• 开源项目维护者：可以在 GitHub Actions 或 GitLab CI 中集成 osv-scanner，自动检测依赖风险，避免引入有漏洞的版本。
• 中小型 DevOps 团队：需要低成本或零成本的漏洞扫描方案，osv.dev 的 API 支持批量查询，适合集成到自建的安全流水线中。
• 不适合：对漏洞数据实时性要求极高（需分钟级更新）的企业、需要商业级 SLA 或人工安全分析师支持的组织，osv.dev 的社区更新节奏可能不够快。

关键功能与亮点

• 免费且开源：数据库、API 和命令行工具（osv-scanner）全部开源，无任何付费墙，适合预算敏感团队。
• 多生态覆盖：支持 Python、JavaScript、Java、Go、Rust、Ruby、PHP 等主流语言及包管理器，覆盖 GitHub、npm、PyPI、Maven 等源。
• 标准化漏洞格式：采用 OpenSSF 制定的“最小化漏洞模式”（OpenSSF Minimal Viable Vulnerability Schema），数据字段简洁，易于机器解析。
• 机器可读 API：支持 REST 和 gRPC 接口，可按包名、版本、commit hash 查询，响应速度快，适合自动化集成。
• osv-scanner 工具：提供命令行扫描器，可扫描本地项目目录、Docker 镜像或 SBOM 文件，输出 JSON 或表格格式报告。
• 无注册要求：Web 界面和 API 均无需登录即可使用，降低上手门槛。

价格分析

osv.dev 完全免费，没有任何隐藏费用或付费套餐。它的运营由 Google 承担成本，商业模式并非直接收费，而是通过提升开源生态安全间接获益。在同类产品中，它属于“免费档”的极致代表——Snyk 的免费版有扫描次数限制，GitHub Advisory Database 虽免费但 API 功能有限，而 osv.dev 的 API 和工具均无使用额度限制。但需注意，免费意味着无商业支持、无 SLA 保障，数据更新依赖社区贡献，高峰时期 API 响应可能变慢。

中国用户怎么用

• 网络通畅性：osv.dev 的 Web 界面（osv.dev）和 API（api.osv.dev）在国内直连友好，无需科学上网即可访问，但偶尔会出现加载缓慢或超时，建议使用 CDN 或国内镜像（如通过代理或自建缓存）。
• 支付方式：完全免费，无需支付，因此不存在支付障碍。
• 是否需要梯子：基础功能不需要，但若需访问 Google 官方文档或 GitHub 上的 osv-scanner 仓库，可能需要梯子（GitHub 国内可直连但速度不稳定）。
• 国内替代品：可考虑阿里云的“漏洞扫描服务”（企业级收费）、腾讯云的“安全运营中心”（集成漏洞库），或开源方案如 Trivy（支持 osv 数据源）。osv.dev 的优势在于完全免费且无厂商锁定，适合个人和小团队。

优缺点对比

优点：

• ✅ 完全免费，无使用限制，适合预算有限团队。
• ✅ 数据源聚合多个权威漏洞库，覆盖面广。
• ✅ API 设计简洁，易于集成到 CI/CD 工具链。
• ✅ 开源项目，可自建私有实例，数据可控。
• ✅ 无注册要求，即开即用，隐私友好。

缺点：

• ❌ 数据更新依赖社区和上游源，部分漏洞发布时间可能滞后数小时或数天。
• ❌ 无商业支持或 SLA，API 宕机时需自行处理。
• ❌ 缺乏漏洞严重性评分（CVSS）的精细度，仅提供基础等级。
• ❌ 国内访问偶有卡顿，无官方国内节点。
• ❌ 不提供漏洞修复建议或补丁链接，需用户自行查找。

同类产品对比

• GitHub Advisory Database：GitHub 官方维护，深度集成 GitHub Dependabot，但 API 功能有限，且数据仅覆盖 GitHub 生态。osv.dev 的优势在于跨平台、标准化格式。
• Snyk Vulnerability DB：商业产品，免费版有扫描次数限制，但提供详细的修复建议和 CVSS 评分。osv.dev 适合零成本场景，Snyk 适合需要专业分析的企业。
• NVD (National Vulnerability Database)：美国政府官方库，数据最权威但更新慢，格式过时。osv.dev 通过聚合 NVD 和其他源，提供更快的合并更新。

总结建议

osv.dev 最适合个人开发者、开源项目维护者以及希望以零成本集成基础漏洞扫描的 DevOps 团队。如果你只需要快速了解依赖风险，不想注册任何商业服务，或者想在自己的工具链中嵌入一个轻量级漏洞查询接口，直接使用 osv.dev 的 Web 界面或 API 即可，无需付费。但如果你对数据实时性、严重性评分或商业支持有要求（例如企业合规审计场景），建议考虑 Snyk 或商业漏洞管理平台。建议先通过 osv-scanner 免费扫描现有项目，评估其数据覆盖是否满足需求，再决定是否作为长期方案。