Google lança biblioteca de open source para análise de composição de software

A Google anunciou o lançamento do OSV-SCALIBR (Software Composition Analysis Library), uma biblioteca de open source para análise de composição de software e verificação do sistema de arquivo.

A ferramenta, lançada como uma biblioteca Go de open source, funciona como um scanner extensível do sistema de ficheiros, utilizado para extrair informações sobre o inventário de software, assim como identificar vulnerabilidades.

O OSV-SCALIBR pode ser usado como binário standalone ou pode ser importado para projetos Go como uma biblioteca. A ferramenta, preparada para analisar pacotes, binários e código-fonte, pode ser utilizada para verificar pacotes dos sistemas operativos Linux, Windows ou macOS, com oferta de suporte à verificação de artefactos e arquivos de bloqueio, mas também como recurso de verificação de vulnerabilidades.

O OSV-SCALIBR armazena os módulos de plugin integrados nos seus arquivos de definição. Em caso de utilização da ferramenta como uma biblioteca, estes plugins podem ser ativados ao serem importados e inseridos na configuração de verificação. Os plugins personalizados também podem ser executados caso o SCALIBR seja usado como uma biblioteca.

A Google encontra-se atualmente a trabalhar para integrar o OSV-SCALIBR no OSV-Scanner, o scanner de vulnerabilidade para dependências de open source, lançado em 2022. Alguns dos recursos do OSV-SCALIBR já estão disponíveis no scanner e serão integrados mais nos próximos meses, revela a empresa.