구글 Scan SBOM

구글 Scan SBOM 

구글에서 소프트웨어 구성 분석(SCA)을 위해, 운영체제 패키지, 바이너리, 소스 코드 스캔 및 SBOM을 만들수 있는 Go 라이브러리 OSB-SCALIBR를 공개했습니다. 이미 구글에서 라이브 호스트, 코드 저장소, 컨테이너 등에 사용되고 있으며,  소프트웨어 추출 및 취약점 탐지를 위한 모듈형 플러그인을 제공하며, 맞춤형 플러그인 추가도 가능합니다. 

Google Releases Open Source Library for Software Composition Analysis
https://www.securityweek.com/google-releases-open-source-library-for-software-composition-analysis/ 

이 스캐너는 취약점 식별, 소프트웨어 목록 분석, SPDX와 CycloneDX 형식 소프트웨어 자재 명세서(SBOM)를 생성 등을 할 수 있습니다.

 

- Linux, Windows, macOS 지원

- 잠금 파일(lockfile) 분석 가능

- 플러그인 기능 지원

 

OSV-Scanner와 통합한 OSV-Scanner V2 출시 예정

- 약한 자격 증명 스캐닝 지원 

- 패키지 추출 기능 지원