OSV-Scanner: scanner de vulnerabilidades do Google com 9,2k stars — segurança grátis
O OSV-Scanner é a ferramenta open-source do Google que varre as dependências do seu projeto e aponta vulnerabilidades conhecidas em segundos. Em abril de 2026, o repositório passou de 9,2 mil stars no GitHub e recebeu a release v49 em 25/03/2026 — última atualização há menos de 24 horas. O scanner usa o banco de dados OSV.dev (Open Source Vulnerabilities), mantido pela Google, que agrega CVEs de npm, PyPI, Go, Maven, RubyGems, Cargo, NuGet e Packagist em um único lugar. Para quem está fazendo vibe coding e montando produtos com IA sem equipe de segurança dedicada, essa é a ferramenta que substitui assinaturas de Snyk (a partir de US$ 25/mês por desenvolvedor) e Dependabot Pro. Roda em qualquer máquina com Go instalado e integra com GitHub Actions sem configuração complexa.
O que o OSV-Scanner faz
O OSV-Scanner lê os arquivos de dependência do seu projeto (package-lock.json, requirements.txt, go.mod, Gemfile.lock, Cargo.lock, pom.xml e outros) e cruza cada biblioteca com o banco de dados OSV.dev. Em segundos, retorna um relatório listando:
- Qual dependência está vulnerável.
- Qual CVE (Common Vulnerabilities and Exposures — identificador padrão de falhas de segurança) afeta aquela versão.
- Qual a severidade (baixa, média, alta, crítica).
- Qual versão corrigida instalar.
Também escaneia imagens Docker, containers rodando, artefatos SBOM (Software Bill of Materials — inventário de componentes) e código Git diretamente. Suporta 13 ecossistemas de pacotes diferentes. Para dono de negócio rodando SaaS próprio ou ferramenta interna de automação, é o equivalente a ter um auditor de segurança permanente revisando cada biblioteca que seu código importa.
Por que está em alta
O repositório saiu de 8,4 mil stars em dezembro de 2025 para 9,2 mil em abril de 2026 — crescimento de 9,5% em 4 meses. O salto veio principalmente depois que o Google integrou o OSV-Scalibr (biblioteca de detecção de dependências) ao scanner, expandindo o suporte para containers e imagens Linux.
Outro driver: empresas saindo de ferramentas pagas como Snyk e Dependabot Pro em busca de alternativas gratuitas. Com release a cada 2-3 semanas e 49 versões publicadas, a frequência de update é superior à média de projetos Go no GitHub.
Tabela de métricas
| Métrica | Valor |
|---|---|
| Stars | 9.264 |
| Licença | Apache-2.0 |
| Último update | Menos de 24h (abril 2026) |
| Linguagem | Go |
| Contributors | 100 |
| Forks | 606 |
| Issues abertas | 104 |
| Releases | 49 |
Para quem serve
Serve para:
- Desenvolvedor solo ou time pequeno que publica código em produção e não tem orçamento para Snyk.
- Empreendedor fazendo vibe coding que quer garantir que as bibliotecas geradas pela IA não tenham falhas conhecidas.
- Agência de marketing digital com automações em Node.js ou Python rodando em VPS (servidor virtual).
- Quem gerencia imagens Docker e precisa validar containers antes do deploy.
NÃO serve para:
- Quem quer varredura de código próprio em busca de bugs lógicos (isso é análise estática — use SonarQube ou Semgrep).
- Quem precisa de scanner de infraestrutura cloud (AWS, GCP, Azure) — use Prowler ou CloudSploit.
- Quem quer dashboard visual com histórico e alertas automáticos sem configurar nada. O OSV-Scanner é CLI primeiro; dashboard requer integração com GitHub Actions ou serviço próprio.
Limitação honesta: o banco OSV.dev cobre muito bem ecossistemas mainstream (npm, PyPI, Go), mas tem menos profundidade em pacotes de nicho ou plugins proprietários. E o scanner não detecta vulnerabilidades de configuração — apenas de dependências.
Alternativas
- Snyk Open Source (snyk.io) — SaaS com free tier limitado (200 testes/mês) e planos pagos a partir de US$ 25/mês por dev. Interface mais polida, mas cobra caro conforme o time cresce.
- Dependabot (nativo do GitHub) — gratuito para repositórios públicos, alerta automático no PR. Limitado aos ecossistemas que o GitHub suporta e sem CLI standalone.
- Trivy (aquasec.com/products/trivy) — open-source da Aqua Security, foca em containers e infraestrutura como código. Complementar ao OSV-Scanner mais do que concorrente direto.
Veredicto
Se você publica código em produção e não tem OSV-Scanner no pipeline, está deixando dinheiro na mesa (ou aceitando risco desnecessário). Substitui integralmente a camada de scan de dependências do Snyk. Instala em 2 minutos. Para quem quer entender como medir impacto real de ferramentas técnicas no negócio, vale revisar o que é conversão e aplicar o mesmo raciocínio aqui: cada vulnerabilidade corrigida antes do deploy é um incidente que nunca vai acontecer.
Fonte: osv-scanner no GitHub
CEO @leadmarkbr · Especialista em SEO e Tráfego Pago
CEO da LeadMark desde 2012. Mais de 15 anos em Google Ads, SEO/GEO e Meta Ads. Gero +60k leads/mês para 30 mil corretores de planos de saúde em todo o Brasil. Certificado Google Ads Search. Palestrante em eventos de marketing digital.
