歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
解決方案
您現在位置 : 首頁 >
解決方案
Google 發布開源軟體分析檢測工具OSV-SCALIBR
2025 / 01 / 23
編輯部
Google 宣布推出開源軟體成分分析工具 OSV-SCALIBR(軟體成分分析函式庫)。此工具採用開源 Go 語言函式庫開發,具備可擴充的檔案系統掃描功能,專門用於提取軟體清單資訊及識別資安漏洞。
OSV-SCALIBR 可作為獨立執行檔(即函式庫的包裝程式)使用,也能直接作為函式庫匯入至 Go 專案中。
該工具支援對套件、執行檔和原始碼進行軟體成分分析(SCA),
能掃描 Linux、Windows 和 macOS 等作業系統套件,並支援多種程式語言的成品(artifacts)和相依性鎖定檔(lockfile)。此外,它具有弱點掃描功能,可產生符合 SPDX 和 CycloneDX 格式的軟體物料清單(SBOM)。
OSV-SCALIBR 目前是 Google 內部的主要 SCA 引擎,用於即時掃描主機、程式碼儲存庫和容器。它已在眾多產品和內部工具中經過廣泛測試,協助產生 SBOM、偵測資安弱點,並以 Google 規模保護使用者資料。
該工具將功能劃分為
軟體擷取
與
弱點偵測
兩類外掛程式,在獨立執行時會預設運行一組推薦的內部外掛程式。
OSV-SCALIBR 將內建外掛模組儲存在定義檔中。使用者以函式庫形式使用時,可透過匯入和設定掃描參數來啟用這些外掛,同時也支援執行自訂外掛程式。
此工具目前主要以開源 Go 語言函式庫形式提供,Google 也正積極將其深度整合至 OSV-Scanner
(2022 年發布的開源相依性弱點掃描工具)中。
目前已將部分 OSV-SCALIBR 功能整合至掃描器中,並計劃在未來數月新增更多功能,包括套件提取、SBOM 產生,以及弱密碼掃描等。
Google 表示,即將推出的 OSV-Scanner V2 版本將為使用者帶來多項全新功能。OSV-Scanner 將作為 OSV-SCALIBR 函式庫的主要命令列介面。現有的 OSV-Scanner 使用者可以繼續使用原有操作方式,且所有既有使用案例都能保持向下相容。
本文轉載自SecurityWeek。
Google
OSV-SCALIBR
開源軟體分析檢測工具
SBOM
SDLC
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
全球大規模暴力破解攻擊!280萬個IP鎖定防火牆、VPN等設備
Microsoft Outlook發現嚴重RCE漏洞,已遭駭客利用攻擊
報告:2024年受攻擊資安漏洞達768個,較2023年多兩成
竊取OTP驗證碼新手法:駭客利用真實電話號碼進行簡訊轉發攻擊
2024年活躍的勒索軟體集團超過 75 個,較2023成長7成多
資安人科技網
文章推薦
委外服務可靠嗎?企業用SOC認證把關 3招管理委外風險
網路安全日:Google 教你識詐防受騙
報告:企業組織對資安弱點評估服務依賴度上升,逾兩成每年執行超過四次