gitextract_t0q6fdgj/ ├── .dockerignore ├── .editorconfig ├── .gemini/ │ └── config.yaml ├── .github/ │ ├── PULL_REQUEST_TEMPLATE/ │ │ └── PULL_REQUEST_TEMPLATE.md │ └── workflows/ │ ├── cassettes.yml │ ├── checks.yml │ ├── codeql-analysis.yml │ ├── dependencies.yml │ ├── format-action/ │ │ └── action.yml │ ├── goreleaser-nightly.yml │ ├── goreleaser.yml │ ├── links.yml │ ├── lint-action/ │ │ └── action.yml │ ├── osv-scanner-reusable-pr.yml │ ├── osv-scanner-reusable.yml │ ├── osv-scanner-unified-action.yml │ ├── prerelease-check.yml │ ├── renovate-validator.yml │ ├── scorecards.yml │ ├── snapshots.yml │ ├── staleness.yml │ ├── test-action/ │ │ └── action.yml │ ├── title.yml │ └── zizmor.yml ├── .gitignore ├── .golangci-lint-version ├── .golangci.yaml ├── .goreleaser-nightly.yml ├── .goreleaser.yml ├── .pre-commit-hooks.yaml ├── .prettierignore ├── .prettierrc.json ├── CHANGELOG.md ├── CONTRIBUTING.md ├── Dockerfile ├── LICENSE ├── Makefile ├── README.md ├── action.dockerfile ├── actions/ │ ├── reporter/ │ │ └── action.yml │ └── scanner/ │ └── action.yml ├── cmd/ │ ├── osv-reporter/ │ │ ├── main.go │ │ └── main_test.go │ └── osv-scanner/ │ ├── __snapshots__/ │ │ └── main_test.snap │ ├── fix/ │ │ ├── __snapshots__/ │ │ │ └── command_test.snap │ │ ├── command.go │ │ ├── command_test.go │ │ ├── interactive.go │ │ ├── model.go │ │ ├── noninteractive.go │ │ ├── output.go │ │ ├── regen_lockfile.go │ │ ├── state-choose-in-place-patches.go │ │ ├── state-choose-strategy.go │ │ ├── state-in-place-result.go │ │ ├── state-initialize.go │ │ ├── state-relock-result.go │ │ ├── testdata/ │ │ │ ├── in-place-npm/ │ │ │ │ └── osv-scanner.toml │ │ │ ├── override-maven/ │ │ │ │ ├── osv-scanner.toml │ │ │ │ └── pom.xml │ │ │ └── relax-npm/ │ │ │ └── package.json │ │ └── testmain_test.go │ ├── internal/ │ │ ├── cmd/ │ │ │ ├── __snapshots__/ │ │ │ │ └── helpers_test.snap │ │ │ ├── helpers.go │ │ │ ├── helpers_test.go │ │ │ ├── run.go │ │ │ └── testmain_test.go │ │ ├── helper/ │ │ │ ├── callanalysis_parser.go │ │ │ ├── callanalysis_parser_test.go │ │ │ ├── flags.go │ │ │ ├── getters.go │ │ │ └── misc.go │ │ └── testcmd/ │ │ ├── case.go │ │ ├── copy.go │ │ ├── git.go │ │ ├── run.go │ │ └── vcr.go │ ├── main.go │ ├── main_test.go │ ├── mcp/ │ │ ├── __snapshots__/ │ │ │ └── integration_test.snap │ │ ├── command.go │ │ ├── configuration-instructions.md │ │ ├── integration_test.go │ │ ├── scan-deps-prompt.md │ │ ├── stats.go │ │ ├── testdata/ │ │ │ └── go-project/ │ │ │ ├── go.mod │ │ │ ├── go.sum │ │ │ ├── main.go │ │ │ ├── osv-scanner-test.toml │ │ │ └── osv-scanner.toml │ │ └── testmain_test.go │ ├── scan/ │ │ ├── __snapshots__/ │ │ │ └── command_test.snap │ │ ├── command.go │ │ ├── command_test.go │ │ ├── image/ │ │ │ ├── __snapshots__/ │ │ │ │ └── command_test.snap │ │ │ ├── command.go │ │ │ ├── command_test.go │ │ │ ├── testdata/ │ │ │ │ ├── alpine-3.18-alpine-release │ │ │ │ ├── alpine-3.18-os-release │ │ │ │ ├── cassettes/ │ │ │ │ │ ├── TestCommand_Docker.yaml │ │ │ │ │ ├── TestCommand_ExplicitExtractors_WithDefaults.yaml │ │ │ │ │ ├── TestCommand_ExplicitExtractors_WithoutDefaults.yaml │ │ │ │ │ ├── TestCommand_HtmlFile.yaml │ │ │ │ │ ├── TestCommand_OCIImage.yaml │ │ │ │ │ └── TestCommand_OCIImage_JSONFormat.yaml │ │ │ │ ├── java-fixture/ │ │ │ │ │ └── app/ │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ ├── pom.xml │ │ │ │ │ └── src/ │ │ │ │ │ └── main/ │ │ │ │ │ └── java/ │ │ │ │ │ └── com/ │ │ │ │ │ └── mycompany/ │ │ │ │ │ └── app/ │ │ │ │ │ └── App.java │ │ │ │ ├── lockfile-fixture/ │ │ │ │ │ ├── alpine-zlib-16.cdx.json │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── package-tracing-fixture/ │ │ │ │ │ ├── go.mod │ │ │ │ │ ├── go.sum │ │ │ │ │ ├── main.go │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── python-fixture/ │ │ │ │ │ ├── main.py │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ └── requirements.txt │ │ │ │ ├── sample-pkgs/ │ │ │ │ │ └── fzf_0.29.0-1ubuntu0.1_amd64.deb │ │ │ │ ├── test-alpine-etcshadow.Dockerfile │ │ │ │ ├── test-alpine-sbom.Dockerfile │ │ │ │ ├── test-alpine.Dockerfile │ │ │ │ ├── test-go-binary.Dockerfile │ │ │ │ ├── test-image-with-deprecated/ │ │ │ │ │ ├── Cargo.toml │ │ │ │ │ └── src/ │ │ │ │ │ └── main.rs │ │ │ │ ├── test-image-with-deprecated.Dockerfile │ │ │ │ ├── test-java-full.Dockerfile │ │ │ │ ├── test-node_modules-npm-empty.Dockerfile │ │ │ │ ├── test-node_modules-npm-full.Dockerfile │ │ │ │ ├── test-node_modules-pnpm-empty.Dockerfile │ │ │ │ ├── test-node_modules-pnpm-full.Dockerfile │ │ │ │ ├── test-node_modules-yarn-empty.Dockerfile │ │ │ │ ├── test-node_modules-yarn-full.Dockerfile │ │ │ │ ├── test-package-tracing.Dockerfile │ │ │ │ ├── test-python-empty.Dockerfile │ │ │ │ ├── test-python-full.Dockerfile │ │ │ │ ├── test-ubuntu-20-04.Dockerfile │ │ │ │ ├── test-ubuntu-with-packages.Dockerfile │ │ │ │ ├── test-ubuntu.Dockerfile │ │ │ │ └── ubuntu20-04-unimportant-config.toml │ │ │ └── testmain_test.go │ │ ├── source/ │ │ │ ├── __snapshots__/ │ │ │ │ └── command_test.snap │ │ │ ├── command.go │ │ │ ├── command_test.go │ │ │ ├── testdata/ │ │ │ │ ├── .goignore │ │ │ │ ├── artifact/ │ │ │ │ │ ├── javareach_test.jar │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── bin/ │ │ │ │ │ └── ssh │ │ │ │ ├── call-analysis-go-project/ │ │ │ │ │ ├── go.mod │ │ │ │ │ ├── go.sum │ │ │ │ │ ├── main.go │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── call-analysis-go-project-all-uncalled/ │ │ │ │ │ ├── go.mod │ │ │ │ │ ├── go.sum │ │ │ │ │ ├── main.go │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── cassettes/ │ │ │ │ │ ├── TestCommand.yaml │ │ │ │ │ ├── TestCommandNonGit.yaml │ │ │ │ │ ├── TestCommand_CallAnalysis.yaml │ │ │ │ │ ├── TestCommand_CommitSupport.yaml │ │ │ │ │ ├── TestCommand_Config_UnusedIgnores.yaml │ │ │ │ │ ├── TestCommand_ExplicitExtractors_WithDefaults.yaml │ │ │ │ │ ├── TestCommand_ExplicitExtractors_WithoutDefaults.yaml │ │ │ │ │ ├── TestCommand_GithubActions.yaml │ │ │ │ │ ├── TestCommand_HtmlFile.yaml │ │ │ │ │ ├── TestCommand_HtmlFile_Deprecated.yaml │ │ │ │ │ ├── TestCommand_JavareachArchive.yaml │ │ │ │ │ ├── TestCommand_Licenses.yaml │ │ │ │ │ ├── TestCommand_LocalDatabases.yaml │ │ │ │ │ ├── TestCommand_LocalDatabases_AlwaysOffline.yaml │ │ │ │ │ ├── TestCommand_LockfileWithExplicitParseAs.yaml │ │ │ │ │ ├── TestCommand_MoreLockfiles.yaml │ │ │ │ │ ├── TestCommand_Transitive.yaml │ │ │ │ │ ├── TestCommand_WithDetector_OffLinux.yaml │ │ │ │ │ └── TestCommand_WithDetector_OnLinux.yaml │ │ │ │ ├── config-invalid/ │ │ │ │ │ └── osv-scanner-test.toml │ │ │ │ ├── exp-plugins-pkgdeprecate/ │ │ │ │ │ └── deprecated-vuln/ │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── go-project/ │ │ │ │ │ ├── go-version-config.toml │ │ │ │ │ ├── go.mod │ │ │ │ │ ├── nested/ │ │ │ │ │ │ ├── go-version-config.toml │ │ │ │ │ │ ├── go.mod │ │ │ │ │ │ └── osv-scanner.toml │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── locks-git/ │ │ │ │ │ └── osv-scanner.json │ │ │ │ ├── locks-gitignore/ │ │ │ │ │ ├── subdir/ │ │ │ │ │ │ └── test.gitignore │ │ │ │ │ └── test.gitignore │ │ │ │ ├── locks-insecure/ │ │ │ │ │ ├── my-package-lock.json │ │ │ │ │ ├── osv-scanner-custom-git-tag.json │ │ │ │ │ ├── osv-scanner-custom.json │ │ │ │ │ ├── osv-scanner-flutter-deps.json │ │ │ │ │ ├── osv-scanner-with-unscannables.json │ │ │ │ │ ├── osv-scanner.json │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── locks-licenses/ │ │ │ │ │ └── package.json │ │ │ │ ├── locks-many/ │ │ │ │ │ ├── installed │ │ │ │ │ ├── not-a-lockfile.toml │ │ │ │ │ ├── osv-scanner-test.toml │ │ │ │ │ ├── replace-local.mod │ │ │ │ │ └── status │ │ │ │ ├── locks-many-with-insecure/ │ │ │ │ │ ├── alpine.cdx.xml │ │ │ │ │ ├── installed │ │ │ │ │ ├── not-a-lockfile.toml │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ ├── replace-local.mod │ │ │ │ │ └── status │ │ │ │ ├── locks-none/ │ │ │ │ │ └── README.md │ │ │ │ ├── locks-requirements/ │ │ │ │ │ ├── my-requirements.txt │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ ├── requirements-dev.txt │ │ │ │ │ ├── requirements-transitive.txt │ │ │ │ │ ├── requirements.prod.txt │ │ │ │ │ ├── requirements.txt │ │ │ │ │ ├── the_requirements_for_test.txt │ │ │ │ │ └── unresolvable-requirements.txt │ │ │ │ ├── locks-scalibr/ │ │ │ │ │ ├── Package.resolved │ │ │ │ │ ├── cabal.project.freeze │ │ │ │ │ ├── depsjson │ │ │ │ │ ├── gems.locked │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ ├── packages.config │ │ │ │ │ └── packages.lock.json │ │ │ │ ├── locks-test-ignore/ │ │ │ │ │ ├── osv-scanner-test.toml │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── maven-transitive/ │ │ │ │ │ ├── abc.xml │ │ │ │ │ ├── encoding.xml │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ ├── parent.xml │ │ │ │ │ ├── pom.xml │ │ │ │ │ └── registry.xml │ │ │ │ ├── osv-scanner-call-analysis-config.toml │ │ │ │ ├── osv-scanner-complex-licenses-config.toml │ │ │ │ ├── osv-scanner-composite-config.toml │ │ │ │ ├── osv-scanner-duplicate-config.toml │ │ │ │ ├── osv-scanner-empty-config.toml │ │ │ │ ├── osv-scanner-expressive-licenses-config.toml │ │ │ │ ├── osv-scanner-invalid-licenses-config.toml │ │ │ │ ├── osv-scanner-partial-ignores-config.toml │ │ │ │ ├── osv-scanner-reasonless-ignores-config.toml │ │ │ │ ├── osv-scanner-unknown-config.toml │ │ │ │ └── sbom-insecure/ │ │ │ │ ├── alpine-zlib-16.cdx.json │ │ │ │ ├── alpine.cdx.xml │ │ │ │ ├── bad-purls.cdx.xml │ │ │ │ ├── only-unimportant.spdx.json │ │ │ │ ├── osv-scanner.toml │ │ │ │ ├── postgres-stretch.cdx.xml │ │ │ │ └── with-duplicates.cdx.xml │ │ │ └── testmain_test.go │ │ ├── testdata/ │ │ │ ├── cassettes/ │ │ │ │ └── TestCommand_SubCommands.yaml │ │ │ └── locks-many/ │ │ │ ├── alpine.cdx.xml │ │ │ ├── installed │ │ │ ├── not-a-lockfile.toml │ │ │ ├── osv-scanner.toml │ │ │ ├── replace-local.mod │ │ │ └── status │ │ └── testmain_test.go │ ├── testdata/ │ │ ├── cassettes/ │ │ │ └── Test_run_SubCommands.yaml │ │ └── locks-many/ │ │ ├── alpine.cdx.xml │ │ ├── installed │ │ ├── not-a-lockfile.toml │ │ ├── osv-scanner.toml │ │ ├── replace-local.mod │ │ └── status │ ├── testmain_test.go │ └── update/ │ ├── __snapshots__/ │ │ └── command_test.snap │ ├── command.go │ ├── command_test.go │ ├── testdata/ │ │ ├── osv-scanner.toml │ │ └── pom.xml │ └── testmain_test.go ├── docs/ │ ├── .gitignore │ ├── 404.html │ ├── Gemfile │ ├── README.md │ ├── _config.yml │ ├── _sass/ │ │ ├── color_schemes/ │ │ │ ├── _variables.scss │ │ │ └── custom_dark.scss │ │ ├── custom/ │ │ │ └── custom.scss │ │ └── highlight/ │ │ └── native.scss │ ├── configuration.md │ ├── contribute.md │ ├── docs.Dockerfile │ ├── experimental.md │ ├── github-action.md │ ├── guided-remediation.md │ ├── index.md │ ├── installation.md │ ├── license-scanning.md │ ├── manual-plugin-selection.md │ ├── migrating-from-scalibr.md │ ├── migration-guide.md │ ├── offline-mode.md │ ├── osv-reporter.md │ ├── output.md │ ├── package-deprecation.md │ ├── scan-image.md │ ├── scan-source.md │ ├── supported_languages_and_lockfiles.md │ └── usage.md ├── exit_code_redirect.sh ├── go.mod ├── go.sum ├── goreleaser-action.dockerfile ├── goreleaser.dockerfile ├── internal/ │ ├── cachedregexp/ │ │ └── regex.go │ ├── ci/ │ │ ├── __snapshots__/ │ │ │ └── vulnerability_result_diff_test.snap │ │ ├── testdata/ │ │ │ ├── not-json.txt │ │ │ ├── results-empty.json │ │ │ ├── results-some.json │ │ │ └── vulns/ │ │ │ ├── test-vuln-results-a-1.json │ │ │ ├── test-vuln-results-a.json │ │ │ ├── test-vuln-results-b.json │ │ │ ├── test-vuln-results-c.json │ │ │ └── test-vuln-results-d.json │ │ ├── testmain_test.go │ │ ├── utility.go │ │ ├── utility_test.go │ │ ├── vulnerability_result_diff.go │ │ └── vulnerability_result_diff_test.go │ ├── clients/ │ │ ├── clientimpl/ │ │ │ ├── licensematcher/ │ │ │ │ └── licensematcher.go │ │ │ ├── localmatcher/ │ │ │ │ ├── localmatcher.go │ │ │ │ ├── testdata/ │ │ │ │ │ └── db/ │ │ │ │ │ ├── file.json │ │ │ │ │ ├── file.yaml │ │ │ │ │ ├── nested-1/ │ │ │ │ │ │ └── osv-1.json │ │ │ │ │ └── nested-2/ │ │ │ │ │ ├── invalid.json │ │ │ │ │ └── osv-2.json │ │ │ │ ├── zip.go │ │ │ │ └── zip_test.go │ │ │ └── osvmatcher/ │ │ │ ├── cachedosvmatcher.go │ │ │ ├── osvmatcher.go │ │ │ └── osvmatcher_test.go │ │ └── clientinterfaces/ │ │ ├── licensematcher.go │ │ └── vulnerabilitymatcher.go │ ├── cmdlogger/ │ │ ├── fmt.go │ │ ├── handler.go │ │ ├── interface.go │ │ ├── level.go │ │ ├── level_test.go │ │ ├── scalibr.go │ │ └── static.go │ ├── config/ │ │ ├── config.go │ │ ├── config_internal_test.go │ │ ├── manager.go │ │ └── testdata/ │ │ ├── testdatainner/ │ │ │ ├── innerFolder/ │ │ │ │ └── test.yaml │ │ │ ├── osv-scanner-load-path.toml │ │ │ ├── osv-scanner.toml │ │ │ └── some-manifest.yaml │ │ ├── unknown-key-1.toml │ │ ├── unknown-key-2.toml │ │ ├── unknown-key-3.toml │ │ ├── unknown-key-4.toml │ │ ├── unknown-key-5.toml │ │ ├── unknown-key-6.toml │ │ └── unknown-key-7.toml │ ├── datasource/ │ │ ├── cache.go │ │ ├── cache_test.go │ │ ├── http_auth.go │ │ ├── http_auth_test.go │ │ ├── insights.go │ │ ├── insights_cache.go │ │ ├── insightsalpha.go │ │ ├── maven_registry.go │ │ ├── maven_registry_cache.go │ │ ├── maven_registry_test.go │ │ ├── maven_settings.go │ │ ├── maven_settings_test.go │ │ ├── npm_registry.go │ │ ├── npm_registry_cache.go │ │ ├── npm_registry_test.go │ │ ├── npmrc.go │ │ ├── npmrc_test.go │ │ └── testdata/ │ │ ├── maven_settings/ │ │ │ └── settings.xml │ │ └── npm_registry/ │ │ ├── @fake-registry-a.json │ │ ├── fake-package-2.2.2.json │ │ └── fake-package.json │ ├── depsdev/ │ │ └── depsdev.go │ ├── grouper/ │ │ ├── grouper.go │ │ ├── grouper_models.go │ │ └── grouper_test.go │ ├── identifiers/ │ │ ├── identifiers.go │ │ └── identifiers_test.go │ ├── imodels/ │ │ ├── imodels.go │ │ ├── imodels_test.go │ │ └── results/ │ │ └── scanresults.go │ ├── output/ │ │ ├── __snapshots__/ │ │ │ ├── cyclonedx_test.snap │ │ │ ├── githubannotation_test.snap │ │ │ ├── machinejson_test.snap │ │ │ ├── markdowntable_test.snap │ │ │ ├── output_result_test.snap │ │ │ ├── result_test.snap │ │ │ ├── sarif_internal_test.snap │ │ │ ├── sarif_test.snap │ │ │ ├── spdx_test.snap │ │ │ ├── table_test.snap │ │ │ └── vertical_test.snap │ │ ├── cyclonedx.go │ │ ├── cyclonedx_test.go │ │ ├── form.go │ │ ├── form_test.go │ │ ├── githubannotation.go │ │ ├── githubannotation_test.go │ │ ├── helpers_test.go │ │ ├── html/ │ │ │ ├── base_image_template.gohtml │ │ │ ├── deprecated_package_template.gohtml │ │ │ ├── filter_template.gohtml │ │ │ ├── license_summary_template.gohtml │ │ │ ├── package_table_template.gohtml │ │ │ ├── package_view_template.gohtml │ │ │ ├── report_template.gohtml │ │ │ ├── script.js │ │ │ ├── severity_summary_template.gohtml │ │ │ ├── style.css │ │ │ ├── vuln_table_entry_template.gohtml │ │ │ └── vuln_table_template.gohtml │ │ ├── html.go │ │ ├── html_test.go │ │ ├── machinejson.go │ │ ├── machinejson_test.go │ │ ├── markdowntable.go │ │ ├── markdowntable_test.go │ │ ├── output_result.go │ │ ├── output_result_test.go │ │ ├── result.go │ │ ├── result_test.go │ │ ├── sarif.go │ │ ├── sarif_fingerprint_test.go │ │ ├── sarif_internal_test.go │ │ ├── sarif_test.go │ │ ├── sbom/ │ │ │ ├── cyclonedx_1_4.go │ │ │ ├── cyclonedx_1_5.go │ │ │ ├── cyclonedx_1_6.go │ │ │ ├── cyclonedx_common.go │ │ │ └── models.go │ │ ├── spdx.go │ │ ├── spdx_test.go │ │ ├── table.go │ │ ├── table_test.go │ │ ├── testdata/ │ │ │ ├── commit-grouped.json │ │ │ ├── flattened_vulns.json │ │ │ ├── test-vuln-results-a.json │ │ │ └── vuln-grouped.json │ │ ├── testmain_test.go │ │ ├── vertical.go │ │ └── vertical_test.go │ ├── remediation/ │ │ ├── __snapshots__/ │ │ │ ├── in_place_test.snap │ │ │ └── testhelpers_test.snap │ │ ├── in_place.go │ │ ├── in_place_test.go │ │ ├── override.go │ │ ├── override_test.go │ │ ├── relax/ │ │ │ ├── npm.go │ │ │ ├── npm_test.go │ │ │ └── relax.go │ │ ├── relax.go │ │ ├── relax_test.go │ │ ├── remediation.go │ │ ├── remediation_test.go │ │ ├── suggest/ │ │ │ ├── maven.go │ │ │ ├── maven_test.go │ │ │ └── suggest.go │ │ ├── testdata/ │ │ │ ├── maven-classifier/ │ │ │ │ ├── osv-scanner.toml │ │ │ │ ├── pom.xml │ │ │ │ ├── universe.yaml │ │ │ │ └── vulns.json │ │ │ ├── override-workaround/ │ │ │ │ ├── commons/ │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ └── pom.xml │ │ │ │ ├── guava/ │ │ │ │ │ ├── android-to-android/ │ │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ │ └── pom.xml │ │ │ │ │ ├── jre-to-jre/ │ │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ │ └── pom.xml │ │ │ │ │ └── none-to-jre/ │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ └── pom.xml │ │ │ │ ├── universe.yaml │ │ │ │ └── vulns.json │ │ │ ├── santatracker/ │ │ │ │ ├── osv-scanner.toml │ │ │ │ ├── package.json │ │ │ │ ├── universe.yaml │ │ │ │ └── vulns.json │ │ │ └── zeppelin-server/ │ │ │ ├── osv-scanner.toml │ │ │ ├── parent/ │ │ │ │ ├── osv-scanner.toml │ │ │ │ ├── parent/ │ │ │ │ │ └── pom.xml │ │ │ │ └── pom.xml │ │ │ ├── pom.xml │ │ │ ├── universe.yaml │ │ │ └── vulns.json │ │ ├── testhelpers_test.go │ │ ├── testmain_test.go │ │ └── upgrade/ │ │ ├── config.go │ │ ├── config_test.go │ │ ├── level.go │ │ └── level_test.go │ ├── reporter/ │ │ ├── cyclonedx.go │ │ ├── format.go │ │ ├── gh-annotations_reporter.go │ │ ├── html_reporter.go │ │ ├── json_reporter.go │ │ ├── reporter.go │ │ ├── reporter_test.go │ │ ├── sarif_reporter.go │ │ ├── spdx.go │ │ ├── table_reporter.go │ │ └── vertical_reporter.go │ ├── resolution/ │ │ ├── __snapshots__/ │ │ │ └── resolve_test.snap │ │ ├── client/ │ │ │ ├── client.go │ │ │ ├── depsdev_client.go │ │ │ ├── helper.go │ │ │ ├── maven_registry_client.go │ │ │ ├── npm_registry_client.go │ │ │ └── override_client.go │ │ ├── clienttest/ │ │ │ └── mock_resolution_client.go │ │ ├── dependency_subgraph.go │ │ ├── dependency_subgraph_test.go │ │ ├── depfile/ │ │ │ └── depfile.go │ │ ├── lockfile/ │ │ │ ├── __snapshots__/ │ │ │ │ └── npm_test.snap │ │ │ ├── lockfile.go │ │ │ ├── npm.go │ │ │ ├── npm_test.go │ │ │ ├── npm_v1.go │ │ │ ├── npm_v2.go │ │ │ ├── testdata/ │ │ │ │ ├── npm_registry/ │ │ │ │ │ ├── @fake-registry-a-1.2.4.json │ │ │ │ │ └── @fake-registry-a-2.3.5.json │ │ │ │ ├── npm_v1/ │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ └── package.json │ │ │ │ └── npm_v2/ │ │ │ │ └── osv-scanner.toml │ │ │ └── testmain_test.go │ │ ├── manifest/ │ │ │ ├── __snapshots__/ │ │ │ │ ├── maven_test.snap │ │ │ │ └── npm_test.snap │ │ │ ├── manifest.go │ │ │ ├── maven.go │ │ │ ├── maven_test.go │ │ │ ├── npm.go │ │ │ ├── npm_test.go │ │ │ ├── testdata/ │ │ │ │ ├── maven/ │ │ │ │ │ ├── my-app/ │ │ │ │ │ │ ├── osv-scanner.toml │ │ │ │ │ │ └── pom.xml │ │ │ │ │ ├── no-dependency-management.xml │ │ │ │ │ └── parent/ │ │ │ │ │ ├── grandparent/ │ │ │ │ │ │ ├── mismatch.xml │ │ │ │ │ │ └── pom.xml │ │ │ │ │ └── pom.xml │ │ │ │ ├── npm-workspaces/ │ │ │ │ │ ├── package.json │ │ │ │ │ ├── ws/ │ │ │ │ │ │ ├── jquery/ │ │ │ │ │ │ │ └── package.json │ │ │ │ │ │ └── ugh/ │ │ │ │ │ │ └── package.json │ │ │ │ │ └── z/ │ │ │ │ │ └── package.json │ │ │ │ └── package.json │ │ │ └── testmain_test.go │ │ ├── resolve.go │ │ ├── resolve_test.go │ │ ├── testdata/ │ │ │ ├── basic-universe.yaml │ │ │ ├── basic-vulns.json │ │ │ ├── complex-universe.yaml │ │ │ ├── complex-vulns.json │ │ │ ├── diamond-universe.yaml │ │ │ └── diamond-vulns.json │ │ ├── testmain_test.go │ │ └── util/ │ │ └── depsdev.go │ ├── scalibrenricher/ │ │ └── govulncheck/ │ │ └── source/ │ │ ├── govulncheck.go │ │ ├── govulncheck_test.go │ │ ├── result.go │ │ └── testdata/ │ │ ├── go.mod │ │ ├── go.sum │ │ ├── main.go │ │ └── osv-scanner.toml │ ├── scalibrextract/ │ │ ├── filesystem/ │ │ │ └── vendored/ │ │ │ ├── testdata/ │ │ │ │ └── thirdparty/ │ │ │ │ └── zlib/ │ │ │ │ ├── .gitignore │ │ │ │ ├── CMakeLists.txt │ │ │ │ ├── ChangeLog │ │ │ │ ├── FAQ │ │ │ │ ├── INDEX │ │ │ │ ├── LICENSE │ │ │ │ ├── Makefile │ │ │ │ ├── Makefile.in │ │ │ │ ├── README │ │ │ │ ├── adler32.c │ │ │ │ ├── amiga/ │ │ │ │ │ ├── Makefile.pup │ │ │ │ │ └── Makefile.sas │ │ │ │ ├── compress.c │ │ │ │ ├── configure │ │ │ │ ├── crc32.c │ │ │ │ ├── crc32.h │ │ │ │ ├── deflate.c │ │ │ │ ├── deflate.h │ │ │ │ ├── examples/ │ │ │ │ │ ├── README.examples │ │ │ │ │ ├── enough.c │ │ │ │ │ ├── fitblk.c │ │ │ │ │ ├── gun.c │ │ │ │ │ ├── gzappend.c │ │ │ │ │ ├── gzjoin.c │ │ │ │ │ ├── gzlog.c │ │ │ │ │ ├── gzlog.h │ │ │ │ │ ├── gznorm.c │ │ │ │ │ ├── zlib_how.html │ │ │ │ │ ├── zpipe.c │ │ │ │ │ ├── zran.c │ │ │ │ │ └── zran.h │ │ │ │ ├── gzclose.c │ │ │ │ ├── gzguts.h │ │ │ │ ├── gzlib.c │ │ │ │ ├── gzread.c │ │ │ │ ├── gzwrite.c │ │ │ │ ├── infback.c │ │ │ │ ├── inffast.c │ │ │ │ ├── inffast.h │ │ │ │ ├── inffixed.h │ │ │ │ ├── inflate.c │ │ │ │ ├── inflate.h │ │ │ │ ├── inftrees.c │ │ │ │ ├── inftrees.h │ │ │ │ ├── make_vms.com │ │ │ │ ├── nintendods/ │ │ │ │ │ ├── Makefile │ │ │ │ │ └── README │ │ │ │ ├── os400/ │ │ │ │ │ ├── README400 │ │ │ │ │ ├── bndsrc │ │ │ │ │ ├── make.sh │ │ │ │ │ └── zlib.inc │ │ │ │ ├── osv-scanner.toml │ │ │ │ ├── qnx/ │ │ │ │ │ └── package.qpg │ │ │ │ ├── test/ │ │ │ │ │ ├── example.c │ │ │ │ │ ├── infcover.c │ │ │ │ │ └── minigzip.c │ │ │ │ ├── treebuild.xml │ │ │ │ ├── trees.c │ │ │ │ ├── trees.h │ │ │ │ ├── uncompr.c │ │ │ │ ├── watcom/ │ │ │ │ │ ├── watcom_f.mak │ │ │ │ │ └── watcom_l.mak │ │ │ │ ├── win32/ │ │ │ │ │ ├── DLL_FAQ.txt │ │ │ │ │ ├── Makefile.bor │ │ │ │ │ ├── Makefile.gcc │ │ │ │ │ ├── Makefile.msc │ │ │ │ │ ├── README-WIN32.txt │ │ │ │ │ ├── VisualC.txt │ │ │ │ │ ├── zlib.def │ │ │ │ │ └── zlib1.rc │ │ │ │ ├── zconf.h │ │ │ │ ├── zconf.h.cmakein │ │ │ │ ├── zconf.h.in │ │ │ │ ├── zlib.3 │ │ │ │ ├── zlib.h │ │ │ │ ├── zlib.pc.cmakein │ │ │ │ ├── zlib.pc.in │ │ │ │ ├── zutil.c │ │ │ │ └── zutil.h │ │ │ ├── vendored.go │ │ │ └── vendored_test.go │ │ ├── language/ │ │ │ ├── javascript/ │ │ │ │ └── nodemodules/ │ │ │ │ └── extractor.go │ │ │ └── osv/ │ │ │ └── osvscannerjson/ │ │ │ ├── extractor.go │ │ │ ├── extractor_test.go │ │ │ ├── metadata.go │ │ │ └── testdata/ │ │ │ ├── empty.json │ │ │ ├── multiple-packages-with-vulns.json │ │ │ ├── not-json.txt │ │ │ ├── one-package-commit.json │ │ │ └── one-package.json │ │ └── vcs/ │ │ ├── gitcommitdirect/ │ │ │ └── extractor.go │ │ └── gitrepo/ │ │ ├── extractor.go │ │ ├── extractor_test.go │ │ └── testdata/ │ │ ├── example-clean/ │ │ │ └── git-hidden/ │ │ │ ├── HEAD │ │ │ ├── config │ │ │ ├── description │ │ │ └── info/ │ │ │ └── exclude │ │ ├── example-git/ │ │ │ ├── a.txt │ │ │ └── git-hidden/ │ │ │ ├── COMMIT_EDITMSG │ │ │ ├── HEAD │ │ │ ├── config │ │ │ ├── description │ │ │ ├── index │ │ │ ├── info/ │ │ │ │ └── exclude │ │ │ ├── logs/ │ │ │ │ ├── HEAD │ │ │ │ └── refs/ │ │ │ │ └── heads/ │ │ │ │ └── main │ │ │ ├── objects/ │ │ │ │ ├── 16/ │ │ │ │ │ └── b14f5da9e2fcd6f3f38cc9e584cef2f3c90ebe │ │ │ │ ├── 4b/ │ │ │ │ │ └── 825dc642cb6eb9a060e54bf8d69288fbee4904 │ │ │ │ ├── 86/ │ │ │ │ │ └── 2ac4bd2703b622e85f29f55a2fd8cd6caf8182 │ │ │ │ └── bf/ │ │ │ │ └── 8fbfe5a434c007b640c12d920683cb19a7b2b9 │ │ │ └── refs/ │ │ │ └── heads/ │ │ │ └── main │ │ └── example-not-git/ │ │ ├── a.txt │ │ └── git-hidden/ │ │ └── b.txt │ ├── scalibrplugin/ │ │ ├── __snapshots__/ │ │ │ └── resolve_test.snap │ │ ├── presets.go │ │ ├── resolve.go │ │ ├── resolve_test.go │ │ └── testmain_test.go │ ├── sourceanalysis/ │ │ ├── __snapshots__/ │ │ │ ├── go_test.snap │ │ │ ├── integration_test.snap │ │ │ └── rust_test.snap │ │ ├── go.go │ │ ├── go_test.go │ │ ├── govulncheck/ │ │ │ └── result.go │ │ ├── integration_test.go │ │ ├── rust.go │ │ ├── rust_test.go │ │ ├── sourceanalysis.go │ │ ├── testdata/ │ │ │ ├── go-integration/ │ │ │ │ ├── .goignore │ │ │ │ ├── GO-2021-0053.json │ │ │ │ ├── GO-2023-1558.json │ │ │ │ ├── GO-2023-2382.json │ │ │ │ └── test-project/ │ │ │ │ ├── go.mod │ │ │ │ ├── go.sum │ │ │ │ ├── main.go │ │ │ │ └── osv-scanner.toml │ │ │ ├── json/ │ │ │ │ ├── govulncheckinput.json │ │ │ │ ├── input-no-call-data.json │ │ │ │ ├── input.json │ │ │ │ ├── output-no-call-data.json │ │ │ │ ├── output.json │ │ │ │ ├── vulnbyid-no-call-data.json │ │ │ │ └── vulnbyid.json │ │ │ └── rust/ │ │ │ ├── archives/ │ │ │ │ ├── medium.rlib │ │ │ │ └── simple.rlib │ │ │ ├── functions/ │ │ │ │ ├── medium.json │ │ │ │ ├── simple.json │ │ │ │ └── test-rust-2.json │ │ │ ├── objs/ │ │ │ │ ├── medium.o │ │ │ │ ├── simple.o │ │ │ │ └── test-rust-2 │ │ │ └── rust-project/ │ │ │ ├── .gitignore │ │ │ ├── Cargo.toml │ │ │ └── src/ │ │ │ └── main.rs │ │ └── testmain_test.go │ ├── spdx/ │ │ ├── gen.go │ │ ├── licenses.go │ │ ├── satisfies.go │ │ ├── satisfies_test.go │ │ ├── verify.go │ │ └── verify_test.go │ ├── testlogger/ │ │ ├── handler.go │ │ └── markers.go │ ├── testutility/ │ │ ├── fixture.go │ │ ├── jsonreplace.go │ │ ├── jsonreplace_test.go │ │ ├── mock_http.go │ │ ├── normalize.go │ │ ├── snapshot.go │ │ └── utility.go │ ├── thirdparty/ │ │ ├── ar/ │ │ │ ├── COPYING │ │ │ └── reader.go │ │ └── xml/ │ │ ├── atom_test.go │ │ ├── marshal.go │ │ ├── marshal_test.go │ │ ├── read.go │ │ ├── read_test.go │ │ ├── typeinfo.go │ │ ├── xml.go │ │ └── xml_test.go │ ├── tui/ │ │ ├── dependency-graph.go │ │ ├── in-place-info.go │ │ ├── relock-info.go │ │ ├── severity.go │ │ ├── styles.go │ │ ├── tui.go │ │ ├── vuln-info.go │ │ └── vuln-list.go │ ├── url/ │ │ ├── url.go │ │ ├── url_other_test.go │ │ ├── url_test.go │ │ └── url_windows_test.go │ ├── utility/ │ │ ├── depgroup/ │ │ │ └── devgroup.go │ │ ├── maven/ │ │ │ ├── maven.go │ │ │ ├── maven_test.go │ │ │ └── testdata/ │ │ │ ├── my-app/ │ │ │ │ └── pom.xml │ │ │ ├── parent/ │ │ │ │ └── pom.xml │ │ │ └── pom.xml │ │ ├── purl/ │ │ │ ├── composer.go │ │ │ ├── composer_test.go │ │ │ ├── golang.go │ │ │ ├── golang_test.go │ │ │ ├── maven.go │ │ │ ├── maven_test.go │ │ │ ├── package_grouper.go │ │ │ ├── package_grouper_test.go │ │ │ ├── purl.go │ │ │ ├── purl_to_package.go │ │ │ └── purl_to_package_test.go │ │ ├── results/ │ │ │ └── results.go │ │ ├── semverlike/ │ │ │ └── version-semver-like.go │ │ ├── severity/ │ │ │ ├── severity.go │ │ │ └── severity_test.go │ │ └── vulns/ │ │ ├── vulnerabilities.go │ │ ├── vulnerabilities_test.go │ │ ├── vulnerability.go │ │ └── vulnerability_test.go │ └── version/ │ └── version.go ├── osv-scanner.toml ├── pkg/ │ ├── models/ │ │ ├── cyclonedx.go │ │ ├── image.go │ │ ├── results.go │ │ └── results_test.go │ └── osvscanner/ │ ├── __snapshots__/ │ │ ├── filter_internal_test.snap │ │ ├── osvscanner_test.snap │ │ └── vulnerability_result_internal_test.snap │ ├── exclude.go │ ├── exclude_test.go │ ├── filter.go │ ├── filter_internal_test.go │ ├── internal/ │ │ ├── imagehelpers/ │ │ │ └── imagehelpers.go │ │ └── scanners/ │ │ └── lockfile.go │ ├── invsort.go │ ├── osvscanner.go │ ├── osvscanner_test.go │ ├── scan.go │ ├── scan_test.go │ ├── stats.go │ ├── testdata/ │ │ └── filter/ │ │ ├── .gitignore │ │ ├── all/ │ │ │ ├── configs/ │ │ │ │ ├── a/ │ │ │ │ │ └── osv-scanner.toml │ │ │ │ ├── b/ │ │ │ │ │ └── osv-scanner.toml │ │ │ │ └── c/ │ │ │ │ └── osv-scanner.toml │ │ │ ├── input.json │ │ │ └── want.json │ │ ├── none/ │ │ │ ├── configs/ │ │ │ │ ├── a/ │ │ │ │ │ └── no_config │ │ │ │ ├── b/ │ │ │ │ │ └── osv-scanner.toml │ │ │ │ └── c/ │ │ │ │ └── osv-scanner.toml │ │ │ ├── input.json │ │ │ └── want.json │ │ └── some/ │ │ ├── configs/ │ │ │ ├── a/ │ │ │ │ └── osv-scanner.toml │ │ │ ├── b/ │ │ │ │ └── osv-scanner.toml │ │ │ └── c/ │ │ │ └── osv-scanner.toml │ │ ├── input.json │ │ └── want.json │ ├── testmain_test.go │ ├── vulnerability_result.go │ └── vulnerability_result_internal_test.go ├── renovate.json └── scripts/ ├── build.sh ├── build_snapshot.sh ├── build_test_images.sh ├── examples/ │ └── auto_guided_remediation.py ├── generate_coverage_report.sh ├── generate_mock_resolution_universe/ │ └── main.go ├── generators/ │ ├── GenerateMavenVersions.java │ ├── generate-alpine-versions.py │ ├── generate-cran-versions.R │ ├── generate-debian-versions.py │ ├── generate-packagist-versions.php │ ├── generate-pypi-versions.py │ ├── generate-redhat-versions.py │ └── generate-rubygems-versions.rb ├── report_uncleaned_snapshots.py ├── run_formatters.sh ├── run_lints.sh ├── run_local_docs.sh ├── run_tests.sh └── test_env.dockerfile