OSV-SCALIBR: ソフトウェア・コンポジション・アナリシスのためのライブラリ

Googleは、ソフトウェア・コンポジション・アナリシス（SCA）とファイル・システム・スキャニングのための拡張可能なライブラリ「OSV-SCALIBR」をリリースしました。このライブラリは、Googleの内部的な脆弱性管理のエキスパート・ノウハウと、新しい機能としてインストールされたパッケージ、スタンドアローン・バイナリー、ソース・コードのSCAを提供します。また、Linux、Windows、MacでのOSパッケージ・スキャニング、主要な言語エコシステムでのアーティファクトとロックファイル・スキャニングもサポートしています。OSV-SCALIBRは、SPDXとCycloneDX形式でのSBOMの生成をサポートし、リソースに制約のある環境でのオン・ホスト・スキャニングに最適化されています。 このライブラリは、Google内部でのライブ・ホスト、コード・レポジトリ、コンテナーの主要なSCA・エンジンとして使用されています。多くの異なる製品と内部ツールで広くテストされており、SBOMの生成、脆弱性の検出、ユーザー・データの保護に役立っています。OSV-SCALIBRは、主にオープン・ソースのGoライブラリとして提供されており、ソフトウェア・エクストラクションと脆弱性検出のプラグインに機能がモジュール化されています。 開発者は、OSV-SCALIBRをライブラリとして使用して、ビルド・アーティファクトやコード・レポジトリからSBOMを生成し、GitレポジトリをスキャンしてSBOMを生成し、リモート・コンテナーをスキャンしてSBOMを生成することができます。また、ファイル・システムやリモート・コンテナーでの脆弱性を検出することもできます。Googleは、OSV-SCALIBRをOSV-Scannerにより深く統合する作業を進めており、数ヶ月以内にOSV-SCALIBRの機能をより多く提供する予定です。 OSV-Scannerは、CLIインターフェースを必要とするユーザーのためのOSV-SCALIBRライブラリの主要なフロントエンドになります。既存のOSV-Scannerユーザーは、既存の使用例に対する後方互換性を維持したままツールを使用することができます。Googleは、さらなる新しい機能も開発中で、OSや言語エコシステムのサポート、レイヤー・アトリビューション、リーチャビリティ・アナリシスなどを含みます。