Googleがソフトウェア構成分析用ライブラリー「OSV-SCALIBR」を公開：セキュリティニュースアラート

Googleは、ソフトウェア構成分析を支援するオープンソースライブラリーである「OSV-SCALIBR」を発表した。Googleの脆弱（ぜいじゃく）性管理の専門知識を活用し、SCAやファイルシステムスキャンを効率化する。

[後藤大地，有限会社オングス]

　Googleは2025年1月16日（現地時間）、ソフトウェア構成分析を支援するライブラリー「OSV-SCALIBR」（SCALIBR＝Software Composition Analysis LIBRary）を発表した。Googleの脆弱（ぜいじゃく）性管理の知見を生かし、ソフトウェア構成分析（SCA）やファイルシステムスキャンを効率化する機能を提供する。

　OSパッケージや主要なプログラミング言語エコシステムに対応しており、SBOMの生成、脆弱な認証情報の検出などが可能だ。

　オープンソースとしてGitHubで公開され、OSV-Scannerとの統合も進行中だ。さらなるOS、言語対応の拡充やコンテナスキャン、Windows向けの脆弱性検出強化も予定されている。

OSV-Scannerの実行例。マニフェストやSBOMなどを分析して依存関係を抽出し、OSVデータベースの参照結果を示す（出典：GoogleのWebサイト）

Googleが使うSCAエンジンで脆弱性管理はどこまで効率化できるか

　OSV-SCALIBRの主な機能は次の通りだ。

• インストール済みパッケージ、スタンドアロンバイナリー、ソースコードのソフトウェア構成分析のサポート
• Linux（COS、Debian、Ubuntu、RHEL など）、Windows、Mac向けのOSパッケージスキャン
• Go、Java、JavaScript、Python、Rubyなどの主要言語エコシステムに対応したアーティファクトおよびロックファイルのスキャン
• 脆弱な認証情報検出を含むLinux、Windows、Mac対応の脆弱性スキャンツール
• SPDXおよびCycloneDX形式によるソフトウェア部品表（SBOM）の生成
• リソース制約のある環境向けに最適化されたオンホストスキャン

　OSV-SCALIBRはすでにGoogle内でライブホスト、コードリポジトリ、コンテナ向けの主要なSCAエンジンとして使用されており、SBOMの生成や脆弱性の検出を支援している。現在はオープンソースのGoライブラリーとしてGitHub上で公開されており、OSV-Scannerに新機能を追加するための基盤としても採用される予定だ。

　OSV-SCALIBRの多くの機能は今後数カ月以内にOSV-Scannerにも統合される。

　OSV-ScannerはGoogleが2022年12月にリリースしたオープンソース依存関係の脆弱性をスキャンするツールだ。この統合によりインストール済みパッケージの抽出、脆弱な認証情報のスキャン、SBOMの生成など、多くの機能がOSV-Scannerでも利用可能になる（参考「Google Online Security Blog: Announcing OSV-Scanner: Vulnerability Scanner for Open Source」）。

　OSV-SCALIBRは今後、より多くのOSおよびプログラミング言語への対応、コンテナスキャン機能の強化、Windows向けの脆弱性検出強化などの機能強化を予定している。