Google, OSV-Scanner V2 출시: 고급 오픈소스 취약점 관리 도구
Google의 오픈소스 보안 팀이 OSV-Scanner V2.0.0을 공개했습니다. 의존성 추출, 컨테이너 스캐닝, 리메디에이션 워크플로우 등 강화된 기능을 제공합니다.
Google 오픈소스 보안 팀, OSV-Scanner V2.0.0 공개
Google의 오픈소스 보안 팀의 Rex Pan과 Xueqin Cui는 오픈소스 취약점 관리 플랫폼인 OSV-Scanner V2.0.0의 일반 공개(GA)를 발표했습니다. 이번 릴리스는 OSV-SCALIBR 기능을 통합하여 의존성 추출, 컨테이너 스캐닝, 리메디에이션 워크플로우 지원을 다양한 생태계로 확장했습니다.
OSV-Scanner V2의 주요 개선 사항
OSV-Scanner V2는 2022년 12월에 출시된 이전 버전과 올해 초 오픈소스로 공개된 OSV-SCALIBR의 기반을 토대로, 취약점 탐지 및 리메디에이션을 위한 통합 도구로 발전했습니다. 이번 업데이트는 세 가지 핵심 개선 사항을 도입했습니다:
1. OSV-SCALIBR을 통한 향상된 의존성 추출
OSV-Scanner는 이제 OSV-SCALIBR 라이브러리의 공식 CLI로 작동하며, 다음과 같은 지원을 확장합니다:
- 소스 매니페스트 및 락 파일:
- .NET (
deps.json) - Python (
uv.lock) - JavaScript (
bun.lock) - Haskell (
cabal.project.freeze,stack.yaml.lock)
- .NET (
- 아티팩트:
- Node 모듈, Python 휠(wheel), Java uber JAR, Go 바이너리
2. 레이어 인식 컨테이너 스캐닝
이 도구는 이제 Debian, Ubuntu, Alpine 컨테이너 이미지에 대한 포괄적이고 레이어 인식 스캐닝을 제공하며, 다음 기능을 지원합니다:
- 패키지가 도입된 레이어 식별
- 레이어 히스토리 및 명령 추적
- 베이스 이미지 탐지 (deps.dev API 활용)
- OS/배포판 핑거프린팅
- 영향 없는 취약점 필터링
지원 생태계:
- 배포판: Alpine, Debian, Ubuntu
- 언어: Go, Java, Node.js, Python
3. 대화형 HTML 출력 및 안내형 리메디에이션
- HTML 보고서에는 다음이 포함됩니다:
- 심각도별 분류 및 필터링
- 패키지/ID 기반 취약점 격리
- 컨테이너용 레이어별 인사이트
- 안내형 리메디에이션 (이전에는 npm에서만 제공)은 이제 **Maven
pom.xml**을 지원하며, 다음을 가능하게 합니다:- 직접 및 전이적 의존성 업데이트
- 의존성 관리 오버라이드
- 프라이빗 레지스트리 통합
- 워크플로우 자동화를 위한 기계 판독 가능 출력
로드맵 및 향후 개발 계획
Google은 다음과 같은 향후 계획을 공개했습니다:
- OSV-SCALIBR 통합: OSV-SCALIBR의 모든 기능을 OSV-Scanner CLI에 완전히 통합
- 생태계 확장 지원: 안내형 리메디에이션을 위한 추가 언어 및 더 넓은 락 파일 호환성 지원
- 전체 파일시스템 책임성: 컨테이너 이미지에서 사이드로드된 바이너리 추적
- 도달 가능성 분석: 취약점 영향 평가 심화
- VEX 지원: 협업 개선을 위한 Vulnerability Exchange(VEX) 표준 채택
시작하기
OSV-Scanner V2는 GitHub에서 다운로드할 수 있습니다. 이 도구는 OSV.dev 취약점 데이터베이스를 포함한 Google의 광범위한 오픈소스 보안 생태계의 일부로 유지됩니다.
보안 팀에게 이번 업데이트는 컨테이너 보안 및 전이적 의존성 관리의 오랜 과제를 해결하며, HTML 출력 형식은 개발자와 감사자에게 더 나은 실행 가능성을 제공합니다.