HackerNews 编译,转载请注明出处:
谷歌周四宣布推出OSV-SCALIBR(软件成分分析库),这是一款用于软件成分分析的开源库。
该工具以开源Go库的形式发布,是一款可扩展的文件系统扫描器,旨在提取软件库存信息并识别漏洞。
OSV-SCALIBR既可以作为独立的二进制文件(库的外围包装)使用,也可以作为库导入到Go项目中。
该工具支持对包、二进制文件和源代码进行软件成分分析(SCA)。它可用于扫描Linux、Windows和macOS上的操作系统包,并支持多种编程语言的工件和锁定文件扫描。
此外,它还提供了漏洞扫描功能,并可用于生成SPDX和CycloneDX格式的软件物料清单(SBOM)。
“OSV-SCALIBR现在是谷歌用于实时主机、代码仓库和容器的主要SCA引擎。它已在许多不同的产品和内部工具中进行了广泛使用和测试,以帮助生成SBOM、发现漏洞,并以谷歌的规模保护用户数据,”这家互联网巨头表示。
该工具的功能已被分组为软件提取和漏洞检测插件,当执行独立的二进制文件时,一组推荐的内部插件将默认运行。
OSV-SCALIBR在其定义文件中存储了内置插件模块。当该工具作为库使用时,可以通过导入这些插件并将它们添加到扫描配置中来启用它们。当SCALIBR作为库使用时,也可以运行自定义插件。
OSV-SCALIBR目前主要作为开源Go库提供,但谷歌正在努力将其更深入地集成到2022年发布的开源依赖项漏洞扫描器OSV-Scanner中。
OSV-SCANNER中的一些功能已经具备了OSV-SCALIBR的部分能力,未来几个月内将集成更多功能,包括已安装包的提取、SBOM生成和弱凭据扫描。
“请注意,OSV-Scanner V2即将发布,将具备许多这些新功能。OSV-Scanner将成为需要CLI界面的用户使用OSV-SCALIBR库的主要前端。OSV-Scanner的现有用户可以继续以相同的方式使用该工具,同时保持对所有现有用例的向后兼容性,”谷歌表示。
消息来源:Security Week, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
