https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

解決方案

Google 發布開源軟體分析檢測工具OSV-SCALIBR

2025 / 01 / 23
編輯部
Google 發布開源軟體分析檢測工具OSV-SCALIBR
Google 宣布推出開源軟體成分分析工具 OSV-SCALIBR(軟體成分分析函式庫)。此工具採用開源 Go 語言函式庫開發,具備可擴充的檔案系統掃描功能,專門用於提取軟體清單資訊及識別資安漏洞。

OSV-SCALIBR 可作為獨立執行檔(即函式庫的包裝程式)使用,也能直接作為函式庫匯入至 Go 專案中。

該工具支援對套件、執行檔和原始碼進行軟體成分分析(SCA),能掃描 Linux、Windows 和 macOS 等作業系統套件,並支援多種程式語言的成品(artifacts)和相依性鎖定檔(lockfile)。此外,它具有弱點掃描功能,可產生符合 SPDX 和 CycloneDX 格式的軟體物料清單(SBOM)。

OSV-SCALIBR 目前是 Google 內部的主要 SCA 引擎,用於即時掃描主機、程式碼儲存庫和容器。它已在眾多產品和內部工具中經過廣泛測試,協助產生 SBOM、偵測資安弱點,並以 Google 規模保護使用者資料。

該工具將功能劃分為軟體擷取弱點偵測兩類外掛程式,在獨立執行時會預設運行一組推薦的內部外掛程式。

OSV-SCALIBR 將內建外掛模組儲存在定義檔中。使用者以函式庫形式使用時,可透過匯入和設定掃描參數來啟用這些外掛,同時也支援執行自訂外掛程式。此工具目前主要以開源 Go 語言函式庫形式提供,Google 也正積極將其深度整合至 OSV-Scanner(2022 年發布的開源相依性弱點掃描工具)中。

目前已將部分 OSV-SCALIBR 功能整合至掃描器中,並計劃在未來數月新增更多功能,包括套件提取、SBOM 產生,以及弱密碼掃描等。

Google 表示,即將推出的 OSV-Scanner V2 版本將為使用者帶來多項全新功能。OSV-Scanner 將作為 OSV-SCALIBR 函式庫的主要命令列介面。現有的 OSV-Scanner 使用者可以繼續使用原有操作方式,且所有既有使用案例都能保持向下相容。

本文轉載自SecurityWeek。