谷歌发布软件组成分析开源库

谷歌周四宣布发布用于软件组成分析的开源库OSV-SCALIBR（软件组成分析库）。

该工具作为开源 Go 库发布，是一个可扩展的文件系统扫描器，旨在提取软件库存信息并识别漏洞。

OSV-SCALIBR既可以用作独立二进制文件（库的包装器），也可以作为库导入到 Go 项目中。

该工具支持对软件包、二进制文件和源代码进行软件组成分析 (SCA)。它可用于扫描 Linux、Windows 和 macOS 上的操作系统软件包，并支持多种编程语言的工件和锁文件扫描。

此外，它还提供漏洞扫描功能，可用于在 SPDX 和 CycloneDX 中生成软件物料清单 (SBOM)。

“OSV-SCALIBR 现在是 Google 内部用于实时主机、代码库和容器的主要 SCA 引擎。它已在许多不同的产品和内部工具中得到广泛使用和测试，以帮助生成 SBOM、查找漏洞并帮助在 Google 规模上保护我们用户的数据，”这家互联网巨头表示。

该工具的功能被分组为软件提取和漏洞检测的插件，当执行独立二进制文件时，一组推荐的内部插件默认运行。

OSV-SCALIBR 将内置插件模块存储在其定义文件中。当该工具用作库时，可以通过导入这些插件并将其添加到扫描配置中来启用它们。当 SCALIBR 用作库时，还可以运行自定义插件。

OSV-SCALIBR 目前主要作为开源 Go 库提供，但谷歌正在努力将其更深入地集成到 OSV-Scanner（2022年发布的开源依赖项漏洞扫描程序）中。

OSV-SCALIBR 的一些功能已在扫描仪中提供，未来几个月将集成更多功能，包括已安装的包提取、SBOM 生成和弱凭证扫描。

“敬请关注即将发布的 OSV-Scanner V2，其中将提供许多新功能。对于需要 CLI 界面的用户来说，OSV-Scanner 将成为 OSV-SCALIBR 库的主要前端。OSV-Scanner 的现有用户可以继续以相同的方式使用该工具，同时保持对所有现有用例的向后兼容性，”Google 表示。