OSV-SCALIBR: 소프트웨어 구성 분석을 위한 라이브러리

구글은 소프트웨어 구성 분석 및 파일 시스템 스캐닝을 위한 확장 가능한 라이브러리인 OSV-SCALIBR을 출시했습니다. 이 라이브러리는 구글의 내부 취약점 관리 전문 지식과 새로운 기능을 결합하여 설치된 패키지, 독립 실행 파일, 소스 코드에 대한 SCA(소프트웨어 구성 분석)를 제공합니다. 또한 리눅스, 윈도우, 맥에서 OS 패키지 스캐닝, 주요 언어 생태계에서 아티팩트 및 록파일 스캐닝을 지원합니다. OSV-SCALIBR은 SPDX 및 CycloneDX 형식으로 SBOM(소프트웨어 빌드 오브 매터리얼)을 생성할 수 있으며, 리소스 제약 환경의 온-호스트 스캐닝을 최적화했습니다. 이 라이브러리는 구글 내부에서 라이브 호스트, 코드 레포지토리, 컨테이너에 대한 기본 SCA 엔진으로 사용됩니다. 다양한 제품 및 내부 도구에 걸쳐 광범위하게 테스트되어 SBOM 생성, 취약점 검색, 사용자 데이터 보호에 도움이 되었습니다. OSV-SCALIBR은 오픈 소스 Go 라이브러리로 제공되며, 소프트웨어 추출 및 취약점 검색 기능이 플러그인으로 모듈화되어 있습니다. 개발자는 OSV-SCALIBR을 라이브러리로 사용하여 빌드 아티팩트 및 코드 레포지토리에서 SBOM을 생성하거나, Git 레포지토리를 스캔하여 SBOM을 생성하거나, 원격 컨테이너를 스캔하여 SBOM을 생성할 수 있습니다. 또한 이 라이브러리를 사용하여 파일 시스템 또는 원격 컨테이너에서 취약점을 찾을 수도 있습니다. 구글은 OSV-SCALIBR을 OSV-Scanner에 더 깊이 통합하여 다음 몇 달 동안 더 많은 기능을 제공할 계획입니다. OSV-Scanner는 OSV-SCALIBR 라이브러리의 CLI 인터페이스를 제공하는 기본 프론트엔드가 됩니다. 기존 OSV-Scanner 사용자는 모든 기존 사용 사례에 대한 하위 호환성을 유지하면서 도구를 계속 사용할 수 있습니다. 구글은 또한 OS 및 언어 생태계에 대한 지원, 레이어 속성, 도달 가능성 분석 등의 새로운 기능을 추가하고 있습니다.