OSV-SCALIBR: Eine Bibliothek für die Analyse von Softwarezusammensetzungen

Google hat OSV-SCALIBR veröffentlicht, eine erweiterbare Bibliothek für die Analyse von Software-Zusammensetzungen und Dateisystem-Scans. Diese Bibliothek kombiniert Googles interne Expertise im Bereich der Schwachstellen-Verwaltung und bietet bedeutende neue Fähigkeiten wie SCA für installierte Pakete, eigenständige Binaries und Quellcode. Sie unterstützt auch das Scannen von OS-Paketen auf Linux, Windows und Mac sowie das Scannen von Artefakten und Lockfiles in wichtigen Sprachökosystemen. OSV-SCALIBR kann SBOMs in SPDX- und CycloneDX-Formaten generieren und ist für das On-Host-Scannen von ressourcenbeschränkten Umgebungen optimiert. Die Bibliothek ist jetzt der primäre SCA-Engine, der innerhalb von Google für Live-Hosts, Code-Repos und Container verwendet wird. Sie wurde umfassend getestet und in vielen verschiedenen Produkten und internen Tools eingesetzt, um SBOMs zu generieren, Schwachstellen zu finden und Benutzerdaten zu schützen. OSV-SCALIBR wird hauptsächlich als Open-Source-Go-Bibliothek angeboten, und ihre Fähigkeiten sind in Plugins für Software-Extraktion und Schwachstellen-Erkennung modularisiert. Entwickler können OSV-SCALIBR als Bibliothek verwenden, um SBOMs aus Build-Artefakten und Code-Repos auf Live-Hosts zu generieren, ein Git-Repo auf SBOMs zu scannen und ein Remote-Container auf SBOMs zu scannen. Die Bibliothek kann auch verwendet werden, um Schwachstellen auf einem Dateisystem oder einem Remote-Container zu finden. Google arbeitet daran, OSV-SCALIBR tiefer in OSV-Scanner zu integrieren, was in den nächsten Monaten mehr von OSV-SCALIBRs Fähigkeiten verfügbar machen wird. OSV-Scanner wird zum primären Frontend für die OSV-SCALIBR-Bibliothek für Benutzer, die eine CLI-Schnittstelle benötigen. Bestehende Benutzer von OSV-Scanner können das Tool weiterhin verwenden, während die Rückwärtskompatibilität für alle bestehenden Anwendungsfälle aufrechterhalten wird. Google arbeitet auch an zusätzlichen neuen Fähigkeiten, einschließlich der Unterstützung für mehr OS- und Sprachökosysteme, Layer-Attribution und Reachability-Analyse.