Google发布名为OSV-SCALIBR（Software Composition Analysis Library）的新工具，进一步提升开源软件漏洞检测和安全分析的能力。OSV-SCALIBR能够执行安装套件、程序码及容器映像档的扫描，同时支援多种主要程序语言和作业系统。

OSV-SCALIBR是一个独立的软件组成分析函式库，延续并扩展了Google在OSV-Scanner中的技术基础。而OSV-Scanner是一款针对开源软件相依性漏洞的扫描工具，目前支援11种程序语言和20种套件管理工具。OSV-SCALIBR在OSV-Scanner的基础上，进一步加入了弱凭证检测与软件物料清单（SBOM）生成功能，并支援SPDX和CycloneDX格式。

Google表示，OSV-SCALIBR已广泛应用于自家主机、程序码储存库及容器的安全分析，协助生成精準的软件物料清单，并提升漏洞检测效能以保护用户资料安全。

OSV-SCALIBR函式库的特色在其模组化的设计，开发者可以根据需求扩充，执行特定的软件撷取和漏洞检测任务。OSV-SCALIBR以开源的Go函式库形式提供，Google也计画未来将其功能整合到OSV-Scanner中，扩大工具的应用範围。

OSV-SCALIBR的应用範畴非常广泛，从扫描安装套件与独立执行档到分析原始码与容器映像档，并支援Linux、Windows和macOS等主流作业系统，能满足多种环境的安全分析需求。此外，其针对低效能硬件和嵌入式系统进行了专门最佳化，使其在资源有限的条件下仍能高效运作。

Google表示，OSV-SCALIBR不仅是一款安全检测工具，更希望透过开放社群的参与，持续扩展其功能。未来Google计画加入更多功能，例如容器基础映像档辨识、漏洞可达性分析（Reachability Analysis）来降低误报，以及更多针对弱凭证的检测能力。

对于需要CLI工具的用户，OSV-SCALIBR的功能正逐步整合到OSV-Scanner，新版本预计于数月内推出。Google承诺全面维持向后相容性，确保既有工作流程不受影响，使现有用户可以无缝过渡至新版工具。