Google 發布開源軟體分析檢測工具OSV-SCALIBR

2025 / 01 / 23

編輯部

Google 宣布推出開源軟體成分分析工具 OSV-SCALIBR（軟體成分分析函式庫）。此工具採用開源 Go 語言函式庫開發，具備可擴充的檔案系統掃描功能，專門用於提取軟體清單資訊及識別資安漏洞。

OSV-SCALIBR 可作為獨立執行檔（即函式庫的包裝程式）使用，也能直接作為函式庫匯入至 Go 專案中。

該工具支援對套件、執行檔和原始碼進行軟體成分分析（SCA），能掃描 Linux、Windows 和 macOS 等作業系統套件，並支援多種程式語言的成品（artifacts）和相依性鎖定檔（lockfile）。此外，它具有弱點掃描功能，可產生符合 SPDX 和 CycloneDX 格式的軟體物料清單（SBOM）。

OSV-SCALIBR 目前是 Google 內部的主要 SCA 引擎，用於即時掃描主機、程式碼儲存庫和容器。它已在眾多產品和內部工具中經過廣泛測試，協助產生 SBOM、偵測資安弱點，並以 Google 規模保護使用者資料。

該工具將功能劃分為軟體擷取與弱點偵測兩類外掛程式，在獨立執行時會預設運行一組推薦的內部外掛程式。

OSV-SCALIBR 將內建外掛模組儲存在定義檔中。使用者以函式庫形式使用時，可透過匯入和設定掃描參數來啟用這些外掛，同時也支援執行自訂外掛程式。此工具目前主要以開源 Go 語言函式庫形式提供，Google 也正積極將其深度整合至 OSV-Scanner（2022 年發布的開源相依性弱點掃描工具）中。

目前已將部分 OSV-SCALIBR 功能整合至掃描器中，並計劃在未來數月新增更多功能，包括套件提取、SBOM 產生，以及弱密碼掃描等。

Google 表示，即將推出的 OSV-Scanner V2 版本將為使用者帶來多項全新功能。OSV-Scanner 將作為 OSV-SCALIBR 函式庫的主要命令列介面。現有的 OSV-Scanner 使用者可以繼續使用原有操作方式，且所有既有使用案例都能保持向下相容。

本文轉載自SecurityWeek。

Google OSV-SCALIBR 開源軟體分析檢測工具 SBOM SDLC