首页
/ Syft v1.24.0 发布:软件成分分析工具的全面升级

Syft v1.24.0 发布:软件成分分析工具的全面升级

2025-06-09 14:27:38作者:傅爽业Veleda

Syft 是一款开源的软件成分分析(SCA)工具,主要用于识别和分析软件制品中的依赖关系和组件信息。它能够扫描容器镜像、文件系统或目录,生成包含所有软件组件的详细清单,帮助开发者和安全团队了解软件构成,识别潜在的安全风险。

新增功能亮点

多语言支持扩展

本次版本新增了对多种编程语言包管理器的支持:

  1. Dart Pubspec 支持:新增了对 Dart 语言 pubspec.yaml 文件的解析能力,能够识别 Dart 项目中的依赖关系。

  2. PHP Pear 支持:增加了对 PHP Pear 包管理器的识别能力,完善了 PHP 生态系统的覆盖范围。

  3. Homebrew 支持:特别为 macOS 系统添加了 Homebrew 包管理器的识别功能,能够扫描通过 Homebrew 安装的软件包。

  4. Nix 依赖检测:新增了对 Nix 包管理器依赖关系的识别能力,扩展了对函数式包管理的支持。

许可证处理增强

  1. Portage 许可证转换:能够将 Gentoo Portage 系统中的许可证字符串转换为标准的 SPDX 表达式,提高了许可证信息的标准化程度。

  2. 许可证内容识别:改进了对完整许可证文本和许可证名称的区分能力,能够更准确地识别和分类许可证信息。

  3. 长许可证字符串处理:当许可证字符串超过64个字符时,不再使用SHA256哈希值替代,而是返回完整的许可证字符串,保证了信息的完整性。

元数据与可视化改进

  1. 层可见性标注:在使用全层扫描范围时,能够标注路径的可见性状态(可见/隐藏),帮助用户理解文件在不同层中的可见性。

  2. 首次发现层标识:新增了记录组件首次被发现所在层ID的功能,便于追踪组件在容器镜像各层中的引入情况。

  3. SBOM 包ID处理:在解码SBOM文件时,会优先使用其中提供的包ID,提高了SBOM处理的准确性。

重要问题修复

  1. Go 二进制版本处理:修复了Go二进制文件版本显示为"(devel)"的问题,现在会正确地显示为"UNKNOWN",符合合规性要求。

  2. Erlang 二进制检测:改进了在Alpine Linux系统中对Erlang二进制文件的检测准确性。

  3. .NET 组件去重:解决了.NET目录扫描器中PE二进制文件和deps.json包不匹配导致的重复包问题。

  4. 符号链接处理:修复了在路径中存在符号链接时go-module-file-cataloger失败的问题。

  5. 架构支持扩展:增强了对fluent-bit某些arm/s390x架构镜像的支持能力。

技术优化与改进

  1. 基础镜像升级:将Docker基础镜像升级为gcr.io/distroless/static-debian12,提高了安全性和稳定性。

  2. 许可证排序稳定性:改进了许可证排序算法,使其在包含内容字段时保持稳定。

  3. 错误处理改进:在FileSourceProvider中改进了错误传播机制,不再仅记录警告日志。

  4. 依赖更新:更新了github.com/Masterminds/semver包,确保版本解析的准确性。

实际应用价值

Syft v1.24.0的发布为软件供应链安全提供了更全面的支持。新增的语言支持扩展了工具的适用范围,使更多技术栈的项目能够受益于准确的组件分析。许可证处理的改进特别值得关注,它帮助组织更好地遵守开源许可证要求,降低合规风险。

首次发现层标识功能为容器镜像分析提供了更深入的洞察,帮助开发者理解组件是如何被引入到最终镜像中的。这对于优化镜像构建过程和减少攻击面特别有价值。

各种问题修复提高了工具的稳定性和准确性,确保在不同环境和场景下都能提供可靠的扫描结果。这些改进共同使Syft成为软件成分分析和SBOM生成领域更加强大和可靠的工具。

登录后查看全文
热门项目推荐

热门内容推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
261
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
860
511
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
259
300
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
595
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K