2022 年,Google 发布了一款名为 OSV-Scanner 的工具,可以轻松扫描依赖项中的漏洞。谷歌的安全博客称:“我们与开源社区一起继续构建这个工具,添加修复功能,并将生态系统支持扩展到 11 种编程语言和 20 种包管理器格式……用户正在寻找开箱即用的漏洞扫描 CLI 工具应该看看 OSV-Scanner,它已经提供了全面的语言包扫描功能……”周四,他们还宣布了一个用于“软件组成分析”扫描(以及文件)的可扩展库-系统扫描)命名OSV-SCALIBR(开源漏洞 – 软件成分分析 LIBRary)。新库“将 Google 的内部漏洞管理专业知识结合到一个扫描库中,该库具有重要的新功能,例如:对已安装软件包、独立二进制文件以及 Linux(COS、Debian、Ubuntu、RHEL、等)、Windows 和 Mac 主要语言生态系统(Go、Java、Javascript、Python、Ruby 等)中的工件和锁定文件扫描 漏洞扫描工具,例如适用于 Linux、Windows 和 Windows 的弱凭据检测器以 SPDX 和 CycloneDX 这两种最流行的文档格式生成 Mac 软件物料清单 (SBOM) 针对性能和低资源消耗至关重要的资源受限环境的主机扫描进行优化 “OSV-SCALIBR 现在是主要的软件组合分析引擎在 Google 内用于实时主机、代码存储库和容器。它已在许多不同的产品和内部工具中得到广泛使用和测试,以帮助生成 SBOM、查找漏洞并帮助保护 Google 规模的用户数据。今天,我们主要将 OSV-SCALIBR 作为开源 Go 库提供,并且我们正在努力将其新功能添加到 OSV-Scanner 中,作为主要 CLI 界面。”
在 Slashdot 上阅读这个故事的更多内容。