Google釋出OSV-SCALIBR函式庫，強化開源軟體漏洞檢測

Google發布名為OSV-SCALIBR（Software Composition Analysis Library）的新工具，進一步提升開源軟體漏洞檢測和安全分析的能力。OSV-SCALIBR能夠執行安裝套件、程式碼及容器映像檔的掃描，同時支援多種主要程式語言和作業系統。

OSV-SCALIBR是一個獨立的軟體組成分析函式庫，延續並擴展了Google在OSV-Scanner中的技術基礎。而OSV-Scanner是一款針對開源軟體相依性漏洞的掃描工具，目前支援11種程式語言和20種套件管理工具。OSV-SCALIBR在OSV-Scanner的基礎上，進一步加入了弱憑證檢測與軟體物料清單（SBOM）生成功能，並支援SPDX和CycloneDX格式。

Google表示，OSV-SCALIBR已廣泛應用於自家主機、程式碼儲存庫及容器的安全分析，協助生成精準的軟體物料清單，並提升漏洞檢測效能以保護用戶資料安全。

OSV-SCALIBR函式庫的特色在其模組化的設計，開發者可以根據需求擴充，執行特定的軟體擷取和漏洞檢測任務。OSV-SCALIBR以開源的Go函式庫形式提供，Google也計畫未來將其功能整合到OSV-Scanner中，擴大工具的應用範圍。

OSV-SCALIBR的應用範疇非常廣泛，從掃描安裝套件與獨立執行檔到分析原始碼與容器映像檔，並支援Linux、Windows和macOS等主流作業系統，能滿足多種環境的安全分析需求。此外，其針對低效能硬體和嵌入式系統進行了專門最佳化，使其在資源有限的條件下仍能高效運作。

Google表示，OSV-SCALIBR不僅是一款安全檢測工具，更希望透過開放社群的參與，持續擴展其功能。未來Google計畫加入更多功能，例如容器基礎映像檔辨識、漏洞可達性分析（Reachability Analysis）來降低誤報，以及更多針對弱憑證的檢測能力。

對於需要CLI工具的用戶，OSV-SCALIBR的功能正逐步整合到OSV-Scanner，新版本預計於數月內推出。Google承諾全面維持向後相容性，確保既有工作流程不受影響，使現有用戶可以無縫過渡至新版工具。