구글, 오픈소스 취약점 스캐너 OSV-Scanner V2.0.0 대규모 업데이트 발표

Google Releases Major Update for Open Source Vulnerability Scanner

 

• 개요
  • 구글은 오픈소스 개발자를 위한 무료 취약점 스캐너인 OSV-Scanner의 새로운 버전 V2.0.0을 발표
  • OSV-Scanner는 2022년 처음 출시되었으며, 오픈소스 취약점 데이터베이스(OSV DB)를 기반으로 동작
  • 이번 업데이트에는 소프트웨어 구성 분석 도구인 OSV-SCALIBR 기능이 통합되어 기능성이 크게 확장됨
• 주요 기능 통합 및 확장
  • OSV-SCALIBR 통합으로 코드 및 컨테이너 전반의 취약점 스캔 및 분석 지원
  • 지원 파일 형식 확장
    • .NET: deps.json
    • Python: uv.lock
    • JavaScript: bun.lock
    • Haskell: cabal.project.freeze, stack.yaml.lock
  • 아티팩트 기반 추출: Node 모듈, Python wheel, Java Uber JAR, Go 바이너리 등
  • 컨테이너 레이어 기반 스캔 기능 추가: Alpine, Debian, Ubuntu 이미지 지원
    • 패키지 삽입 레이어, 커맨드 기록, 베이스 이미지 정보 제공
    • 취약점의 실제 영향 범위 분석 가능
• 보안 정보 출력 및 리포트 기능 개선
  • HTML 기반 로컬 인터페이스 추가
    • 취약점 요약, 패키지별 심각도, 필터링 기능 제공
  • Maven 프로젝트의 자동 취약점 수정 지원
    • pom.xml 파일 읽기 및 쓰기, 사설 레지스트리 설정, 종속성 업데이트 자동화
    • Guided Remediation 결과를 머신 리더블 형식으로 출력 가능
• 향후 로드맵
  • CLI 인터페이스에 SCALIBR 기능 지속 통합 예정
  • 더 많은 생태계 지원 계획 (.NET, Rust 등)
  • 컨테이너 내 모든 파일에 대한 회계(auditing) 기능 추가 예정
  • 도달 가능성 분석(Reachability Analysis) 기능 개발
  • VEX(Vulnerability Exploitability eXchange) 지원 예정
• 결론
  • 오픈소스 프로젝트 보안 점검 시 OSV-Scanner를 통해 정적 구성 파일, 바이너리, 컨테이너 레이어까지 다각적 취약점 분석 수행 필요
  • Maven 등 종속성 기반 프로젝트는 자동 수정을 위한 Guided Remediation 기능 적극 활용 권장
  • 기업 및 보안 담당자는 SCALIBR 통합 기능을 기반으로 SBOM 수준의 보안 자산 식별 및 관리 체계 수립 필요