Armadilloフォーラム

osv-scanner実行時の"Neither CPE nor PURL found for package"出力について

製品
Armadillo-IoT A9E

takamura.eiji

2025年8月25日 17時30分

==========
製品型番:AG9130-C03D0
==========

ATDE環境のVS Code上でReleaseビルドした際に生成されたSBOMファイル「release.swu.spdx.json」を
osv-scannerで脆弱性チェックをしたところ、下記のような"Neither CPE nor PURL found for package"が出力されるのですが
原因は判りますでしょうか?

本プロジェクトはRestAPIを試すためにpackages.txtにはcurlを追記して、app.confでadd_argsで$AUTHを定義しているのみの簡易的なものです。

$ osv-scanner -v
osv-scanner version: 2.2.1
osv-scalibr version: 0.3.1
commit: 04a8728383d8f286cf2b0f110e68482e8773df6e
built at: 2025-08-11T00:07:34Z
$ osv-scanner -L ./release.swu.spdx.json --format markdown
Neither CPE nor PURL found for package: &{IsUnpackaged:false PackageName:release.swu PackageSPDXIdentifier:release.swu PackageVersion:5 PackageFileName:./release.swu PackageSupplier:<nil> PackageOriginator:<nil> PackageDownloadLocation:NOASSERTION FilesAnalyzed:true IsFilesAnalyzedTagPresent:true PackageVerificationCode:0xc0004daed0 PackageChecksums:[{Algorithm:SHA256 Value:cca7c1b79d3c281449c24929d32aafe2dffb3c2d2955222e609e072302cce6bb}] PackageHomePage: PackageSourceInfo: PackageLicenseConcluded:NOASSERTION PackageLicenseInfoFromFiles:[] PackageLicenseDeclared:NOASSERTION PackageLicenseComments: PackageCopyrightText:Copyright 2025 Atmark Techno PackageSummary: PackageDescription: PackageComment: PackageExternalReferences:[] PackageAttributionTexts:[] PrimaryPackagePurpose: ReleaseDate: BuiltDate: ValidUntilDate: Files:[] Annotations:[] hasFiles:[]}
Neither CPE nor PURL found for package: &{IsUnpackaged:false PackageName:debian PackageSPDXIdentifier:debian PackageVersion:bullseye-slim PackageFileName: PackageSupplier:<nil> PackageOriginator:<nil> PackageDownloadLocation:NOASSERTION FilesAnalyzed:false IsFilesAnalyzedTagPresent:true PackageVerificationCode:0xc0004daf30 PackageChecksums:[] PackageHomePage: PackageSourceInfo: PackageLicenseConcluded:NOASSERTION PackageLicenseInfoFromFiles:[] PackageLicenseDeclared:NOASSERTION PackageLicenseComments: PackageCopyrightText:NOASSERTION PackageSummary: PackageDescription: PackageComment: PackageExternalReferences:[] PackageAttributionTexts:[] PrimaryPackagePurpose: ReleaseDate: BuiltDate: ValidUntilDate: Files:[] Annotations:[] hasFiles:[]}
Neither CPE nor PURL found for package: &{IsUnpackaged:false PackageName:app PackageSPDXIdentifier:DocumentRoot-Directory--home-atmark-my-project-multi-profile-control-swu-app PackageVersion: PackageFileName: PackageSupplier:0xc000348160 PackageOriginator:<nil> PackageDownloadLocation:NOASSERTION FilesAnalyzed:false IsFilesAnalyzedTagPresent:true PackageVerificationCode:0xc0004daf90 PackageChecksums:[] PackageHomePage: PackageSourceInfo: PackageLicenseConcluded:NOASSERTION PackageLicenseInfoFromFiles:[] PackageLicenseDeclared:NOASSERTION PackageLicenseComments: PackageCopyrightText:NOASSERTION PackageSummary: PackageDescription: PackageComment: PackageExternalReferences:[] PackageAttributionTexts:[] PrimaryPackagePurpose: ReleaseDate: BuiltDate: ValidUntilDate: Files:[] Annotations:[] hasFiles:[]}
Neither CPE nor PURL found for package: &{IsUnpackaged:false PackageName:scripts PackageSPDXIdentifier:DocumentRoot-Directory--usr-share-mkswu-scripts PackageVersion: PackageFileName: PackageSupplier:0xc0003481a0 PackageOriginator:<nil> PackageDownloadLocation:NOASSERTION FilesAnalyzed:false IsFilesAnalyzedTagPresent:true PackageVerificationCode:0xc0004db110 PackageChecksums:[] PackageHomePage: PackageSourceInfo: PackageLicenseConcluded:NOASSERTION PackageLicenseInfoFromFiles:[] PackageLicenseDeclared:NOASSERTION PackageLicenseComments: PackageCopyrightText:NOASSERTION PackageSummary: PackageDescription: PackageComment: PackageExternalReferences:[] PackageAttributionTexts:[] PrimaryPackagePurpose: ReleaseDate: BuiltDate: ValidUntilDate: Files:[] Annotations:[] hasFiles:[]}
Neither CPE nor PURL found for package: &{IsUnpackaged:false PackageName:dest PackageSPDXIdentifier:DocumentRoot-Directory--home-atmark-my-project-multi-profile-control-swu-dest PackageVersion: PackageFileName: PackageSupplier:0xc0003481e0 PackageOriginator:<nil> PackageDownloadLocation:NOASSERTION FilesAnalyzed:false IsFilesAnalyzedTagPresent:true PackageVerificationCode:0xc0004db1d0 PackageChecksums:[] PackageHomePage: PackageSourceInfo: PackageLicenseConcluded:NOASSERTION PackageLicenseInfoFromFiles:[] PackageLicenseDeclared:NOASSERTION PackageLicenseComments: PackageCopyrightText:NOASSERTION PackageSummary: PackageDescription: PackageComment: PackageExternalReferences:[] PackageAttributionTexts:[] PrimaryPackagePurpose: ReleaseDate: BuiltDate: ValidUntilDate: Files:[] Annotations:[] hasFiles:[]}
Scanned /home/atmark/my_project/multi-profile-control/release.swu.spdx.json file and found 30 packages
Filtered 1 local/unscannable package/s from the scan.
Total 1 package affected by 3 known vulnerabilities (0 Critical, 0 High, 0 Medium, 0 Low, 3 Unknown) from 1 ecosystem.
0 vulnerabilities can be fixed.
 
 
| OSV URL | CVSS | Ecosystem | Package | Version | Fixed Version | Source |
| --- | --- | --- | --- | --- | --- | --- |
| https://osv.dev/CVE-2025-4947 |  | Alpine | curl | 8.12.1-r1 | -- | release.swu.spdx.json |
| https://osv.dev/CVE-2025-5025 |  | Alpine | curl | 8.12.1-r1 | -- | release.swu.spdx.json |
| https://osv.dev/CVE-2025-5399 |  | Alpine | curl | 8.12.1-r1 | -- | release.swu.spdx.json |

また、curlで3件脆弱性が指摘されたのですが、CVSSがブランクなのは"Neither CPE nor PURL found for package"の影響でしょうか?

コメント

at_reika.yamazaki

2025年8月26日 13時11分

お世話になっております。山崎です。
"Neither CPE nor PURL found for package" についてですが、osv-scanner が CPE、 PURL といった情報を取得できなかった場合に表示されます。
該当するパッケージは release.swu と、release.swu に含まれるディレクトリ群です。release.swu はローカルで作成しており、CPE、 PURL といった情報がないため出力されます。したがって動作としては正常です。

また、CVSS がブランクになっている件については osv-scanner がアクセスするデータベースに CVSS が未登録であるためです。
しかし、References には情報がある可能性があります。
例えば https://osv.dev/CVE-2025-4947 にアクセスすると https://curl.se/docs/CVE-2025-4947.html へのリンクがあり、こちらには Severity: Medium
と表示されています。
そのため References もあわせてご確認いただければと思います。

以上、どうぞよろしくお願いいたします。

takamura.eiji

2025年8月26日 15時43分

山崎さん
回答ありがとうございます。

> "Neither CPE nor PURL found for package" についてですが、osv-scanner が CPE、 PURL といった情報を取得できなかった場合に表示されます。
> 該当するパッケージは release.swu と、release.swu に含まれるディレクトリ群です。release.swu はローカルで作成しており、CPE、 PURL といった情報がないため出力されます。したがって動作としては正常です。

不具合では無いという事で承知致しました。
申し訳ありませんが、2点ご教示ください。

(1)
この表示があっても無視しても良いという事でしょうか?

(2)
普通にATDE環境でプロジェクト作成してSBOMを生成したら私だけでなく他のユーザも、このようになるという事でしょうか?
(何か手順が抜けたり、非奨励の設定などをしているかを心配しております)

> また、CVSS がブランクになっている件については osv-scanner がアクセスするデータベースに CVSS が未登録であるためです。
> しかし、References には情報がある可能性があります。
> 例えば https://osv.dev/CVE-2025-4947 にアクセスすると https://curl.se/docs/CVE-2025-4947.html へのリンクがあり、こちらには Severity: Medium
> と表示されています。
> そのため References もあわせてご確認いただければと思います。

何かの事情でブランクの場合があり、その場合はReferencesを確認するという事で
承知致しました。

takamura.eiji

2025年8月26日 15時50分

下記、記載漏れてました。
(3)
"Neither CPE nor PURL found for package" 出力を放置した場合ですが、SBOMの脆弱性チェックの精度には無関係と思って良いでしょうか?

at_reika.yamazaki

2025年8月26日 17時49分

お世話になっております。山崎です。
いただいた質問について順に回答します。

>(1)
>この表示があっても無視しても良いという事でしょうか?

はい、release.swu に関するパッケージはローカルで作成したユーザ独自のイメージになるため "Neither CPE nor PURL found for package" は必ず表示されます。
そのため、この時点では無視しても大丈夫です。

>(2)
>普通にATDE環境でプロジェクト作成してSBOMを生成したら私だけでなく他のユーザも、このようになるという事でしょうか?
>(何か手順が抜けたり、非奨励の設定などをしているかを心配しております)

はい、先述したようにローカルで作成したファイルに対してスキャンしているためこちらの文言は表示されます。

>(3)
>"Neither CPE nor PURL found for package" 出力を放置した場合ですが、SBOMの脆弱性チェックの精度には無関係と思って良いでしょうか?

いいえ、まるっきり無関係とは言いづらいです。
"Neither CPE nor PURL found for package" の出力は CPE/PURL といった情報が取得できない場合に出力されます。

そのため、該当のパッケージがユーザ独自のものであった場合、例えば独自にビルドしたバイナリファイルを配置した場合は、含まれるパッケージの詳細が不明なため、そちらのパッケージについてスキャンできないという問題も起こります。
ABOSDE で提供しているプロジェクトについてはバイナリファイルを作成する場合、ビルド前のパッケージ情報を取得しているため問題ありませんが、独自にビルドしたバイナリファイルなどを配置した場合は、含まれているパッケージについてスキャンできないので、その点についてはご承知おきください。

以上、どうぞよろしくお願いいたします。