Google OSV-Scanner 在 Python 依赖版本解析中的问题分析

在软件开发过程中，依赖管理工具的安全扫描功能至关重要。Google 开源的安全扫描工具 OSV-Scanner 近期在处理 Python 项目的 requirements.txt 文件时出现了一个值得注意的问题，这可能会影响开发者的安全评估准确性。

问题现象

当使用 OSV-Scanner 扫描包含特定版本约束的 Python 依赖项时，工具会错误地报告实际上已被版本约束排除在外的安全问题。具体表现为：

1. 在 requirements.txt 中指定了 loguru>=0.6.0,<1 这样的版本范围
2. OSV-Scanner 却报告了仅影响 0.5.3 以下版本的问题（CVE-2022-0338）
3. 工具显示的解析版本为 0.6.0,<1，表明它未能正确理解版本约束

技术背景

Python 生态中，requirements.txt 文件支持复杂的版本约束语法，包括：

• 精确版本匹配（==）
• 版本范围（>=, <=, >, <）
• 版本排除（!=）
• 多条件组合（使用逗号分隔）

这些约束条件共同定义了项目可以接受的依赖版本范围。安全扫描工具需要准确理解这些约束，才能正确判断某个问题是否会影响当前项目。

问题根源

经过项目维护者的调查，发现这个问题源于两个层面的因素：

1. 解析器限制：OSV-Scanner 当前的 requirements.txt 解析器对复杂版本约束的支持不完善，特别是对多条件组合的解析存在问题。

2. API 变更：近期后端 API 从精确版本匹配改为范围匹配，这改变了问题查询的行为模式。旧版 API 会完全忽略这类查询，而新版则会返回所有相关问题。

解决方案与改进方向

项目团队已经规划了多层次的解决方案：

1. 短期方案：开发者可以通过在 osv-scanner.toml 配置文件中添加忽略规则来临时解决特定问题的误报问题。

2. 中期方案：即将发布的 OSV-Scanner v2 版本将改进版本选择逻辑，默认采用满足约束条件的最低版本进行扫描。

3. 长期方案：团队正在开发完整的依赖解析功能，通过构建依赖图来准确确定实际使用的版本。

最佳实践建议

基于当前情况，建议开发者：

1. 优先使用生成精确版本锁定的工具（如 poetry、pip-compile）来创建依赖文件
2. 对于重要的安全扫描结果，应手动验证版本约束是否确实包含被报告的问题版本
3. 关注 OSV-Scanner 的版本更新，及时升级以获取改进的功能

这个问题凸显了依赖管理工具在处理复杂版本约束时面临的挑战，也提醒我们在安全扫描过程中需要理解工具的局限性。随着 OSV-Scanner 的持续改进，相信这类问题将得到更好的解决。