OpenAI傘下のAstralは2026年6月8日、Pythonパッケージマネージャー「uv」に、依存関係の脆弱性を確認する新コマンドuv auditと、インストール時に既知のマルウェア情報を照合する機能を追加したと発表した。いずれも現時点ではプレビュー機能で、設計の反復に伴い破壊的変更が入る可能性があるとしている。

• Vulnerability and malware checks in uv - Astral Blog

uv auditは、プロジェクトの依存関係を調べ、既知の脆弱性に加えて、非推奨など、プロジェクトに関する望ましくない状態も検出するコマンド。Astralは、既存ツールpip-auditに対するuvネイティブの代替と説明している。監査をCIなどの別工程として扱うのではなく、uvを使った開発・テストの流れに組み込み、ロックファイルに記録された解決結果やuv.toml、pyproject.tomlの設定を活用できる点を特徴に挙げている。

性能面では、uvのネットワーク処理、キャッシュ、パッケージ解決、パース処理などを使えるため、一般的なプロジェクトではpip-auditより4〜10倍高速としている。ただし同社は、両者の代表的な使い方は完全には同一ではなく、pip-auditを十分にキャッシュした状態ではuv auditとおおむね同等の速度になる場合があるとも補足している。

マルウェア確認は、uv addやuv syncなど同期を伴うコマンドの実行時に、ロック済みの依存関係をOSVの既知マルウェア情報と照合する仕組み。対象パッケージが既知のMALアドバイザリに一致した場合、同期処理を中止し、悪意あるコードが実行される前に止めるとしている。現時点ではデフォルトで有効ではなく、UV_MALWARE_CHECK=1を設定すると有効化できる。

Astralは、この確認が公開済みアドバイザリに依存する点にも注意を促している。特に侵害されたパッケージに含まれるマルウェアは公開後すぐに検出されるとは限らないため、同社は新しい依存関係を取り込む前に一定時間を置く「dependency cooldowns」も推奨している。

今後については、候補バージョンの既知脆弱性を依存関係の解決時に考慮すること、uv add時に新しく追加する依存関係に脆弱性がある場合だけ通知すること、脆弱性情報バックエンドの拡張、requirements.txtやpylock.tomlなど他形式への対応を検討項目に挙げている。