OSV-Scanner 项目中关于忽略特定包许可证扫描的技术探讨

在软件供应链安全扫描工具 OSV-Scanner 的使用过程中，开发者们经常会遇到需要特殊处理某些依赖包的情况。本文重点讨论一个特定场景：如何仅忽略某些包的许可证扫描而不影响其安全扫描功能。

当前解决方案分析

目前 OSV-Scanner 提供了 PackageOverrides 配置功能，可以通过设置 ignore = true 来完全忽略一个包的扫描：

[[PackageOverrides]]
name = "lib"
version = "1.0.0"
ecosystem = "Go"
ignore = true

但这种做法会同时忽略包的安全扫描和许可证扫描，无法满足"仅忽略许可证扫描"的需求。

现有变通方案

项目维护者提出了一种巧妙的变通方法：

1. 使用 license.override 将许可证标记为特殊值
2. 运行时通过 --experimental-licenses 参数允许该特殊值

[[PackageOverrides]]
name = "lib"
version = "1.0.0"
ecosystem = "Go"
license.override = ["EXCLUDED"]

然后执行扫描时添加参数：

osv-scanner --experimental-licenses EXCLUDED

潜在改进方向

虽然现有方案可行，但存在以下可优化点：

1. 语义明确性：使用 EXCLUDED 这样的特殊值不够直观
2. 配置简洁性：需要同时修改配置文件和命令行参数
3. 可维护性：特殊值的约定增加了维护成本

理想情况下，可以引入专门的 license.ignore 配置项：

[[PackageOverrides]]
name = "lib"
version = "1.0.0"
ecosystem = "Go"
license.ignore = true

这种设计将带来以下优势：

• 配置意图更明确
• 不需要额外的命令行参数
• 减少特殊值的使用
• 提高配置的可读性和可维护性

实际应用场景

这种功能在以下场景特别有用：

1. 测试依赖：仅用于测试的库不需要考虑许可证问题
2. 构建工具链：构建时工具不影响最终产品的许可证合规性
3. 间接依赖：某些传递性依赖在实际运行时不会被包含

总结

OSV-Scanner 作为软件供应链安全的重要工具，其配置灵活性对实际使用至关重要。虽然目前可以通过许可证覆盖机制实现部分功能，但引入专门的许可证忽略配置将显著提升工具的易用性和可维护性。这反映了软件供应链安全工具在精细化管理方面的演进需求，也是开源项目持续优化的重要方向。