OSV.dev Has a Free API — Find Vulnerabilities in Any Open-Source Package

Google의 OSV.dev API를 도입해 NVD 대비 응답 속도 향상 및 API 키 없이 오픈소스 패키지 취약점 조회

Alex Spinov2026년 3월 24일6분beginner

AI 요약

Context

Python 프로젝트 감사 중 47개 의존성에서 pip-audit으로 3개 취약점을 발견했으나, CVE 설명·수정 버전·영향 범위 등 상세 정보가 필요했다. NVD API는 응답이 느리고 사용 불편했다.

OSV.dev API로 20개 이상 생태계의 통합 취약점 데이터 조회: GitHub Security Advisories, PyPI Advisory Database, npm Advisories, RustSec, Go Vulnerability Database, Linux 커널 취약점 등 15개 이상 소스 집계
단일 패키지 조회 엔드포인트(POST /v1/query)로 생태계별 패키지 이름 지정하여 취약점 검색
배치 쿼리 엔드포인트(POST /v1/querybatch)로 여러 패키지 동시 조회 지원
CI/CD 파이프라인 통합: pip-audit 또는 osv-scanner를 lockfile에 대해 실행하여 보안 게이트 구성
Python requests 라이브러리로 OSV API 호출하여 취약점 ID·요약·심각도 파싱 및 상위 5개 취약점 반환

API 키 불필요(NVD·Snyk는 필수), 레이트 제한 없음(NVD 50/30초·Snyk 100/분 제약 없음), 20개 이상 생태계 지원, 응답 속도 NVD 대비 빠름.

API 키 비용 없이 다중 패키지 생태계를 단일 엔드포인트로 감사하려면 OSV.dev 같은 통합 취약점 데이터베이스를 CI/CD 파이프라인에 직접 통합하는 것이 의존성 보안 검증의 최소 비용 전략이다.

실천 포인트

다중 프로그래밍 언어 의존성을 관리하는 개발팀에서 pip-audit·npm audit 대신 OSV API를 바로 호출하면 PyPI·npm·Maven·RubyGems 등을 하나의 인터페이스로 통합 감사할 수 있으며, API 키 관리 오버헤드를 제거할 수 있다.

태그