OSV-SCALIBR: Библиотека для анализа состава программного обеспечения

Google выпустила OSV-SCALIBR, расширяемую библиотеку для анализа состава программного обеспечения и сканирования файловой системы. Эта библиотека объединяет внутренний опыт Google по управлению уязвимостями и предлагает новые возможности, такие как анализ состава программного обеспечения (SCA) для установленных пакетов, автономных двоичных файлов и исходного кода. Она также поддерживает сканирование пакетов ОС на Linux, Windows и Mac, а также сканирование артефактов и файлов блокировки в основных языковых экосистемах. OSV-SCALIBR может генерировать SBOM (Software Bill of Materials) в форматах SPDX и CycloneDX и оптимизирована для сканирования на хосте в ресурсоограниченных средах. Библиотека теперь является основным движком SCA, используемым в Google для живых хостов, репозиториев кода и контейнеров. Она была использована и протестирована в течение длительного времени в различных продуктах и внутренних инструментах для генерации SBOM, обнаружения уязвимостей и защиты пользовательских данных. OSV-SCALIBR предлагается в основном как открытая библиотека Go, а ее возможности модуляризированы в плагины для извлечения программного обеспечения и обнаружения уязвимостей. Разработчики могут использовать OSV-SCALIBR как библиотеку для генерации SBOM из артефактов сборки и репозиториев кода на живых хостах, сканирования git-репозитория для SBOM, сканирования удаленного контейнера для SBOM. Библиотека также может быть использована для обнаружения уязвимостей на файловой системе или удаленном контейнере. Google работает над интеграцией OSV-SCALIBR более глубоко в OSV-Scanner, что позволит сделать больше возможностей OSV-SCALIBR доступными в ближайшие месяцы. OSV-Scanner станет основным интерфейсом для библиотеки OSV-SCALIBR для пользователей, которые требуют интерфейса командной строки. Существующие пользователи OSV-Scanner могут продолжать использовать инструмент с сохранением обратной совместимости для всех существующих случаев использования. Google также работает над дополнительными новыми возможностями, включая поддержку более операционных систем и языковых экосистем, атрибуцию слоев и анализ достижимости.