OSV, Googleova usluga za učenje o ranjivostima otvorenog koda

Google je nedavno najavio pokretanje nova usluga nazvana "OSV" (Ranjivosti otvorenog koda), koji ilipruža pristup bazi podataka o ranjivostima u softveru otvorenog koda.

Usluga pruža API koji omogućava automatizaciju formiranja zahtjeva za dobivanje informacija o ranjivostima, u odnosu na status spremišta s kodom. Ranjivostima se dodjeljuju OSV identifikatori odvojite koji dopunjuju CVE proširenim informacijama.

Posebno baza podataka OSV odražava status rješenja problema, potvrde su naznačene pojavom i popravkom ranjivosti, rasponom ranjivih verzija, vezama do spremišta projekata s kodom i obavijesti o problemu.

Uzbuđeni smo što smo objavili OSV (Open Source Vulnerabilities), naš prvi korak ka poboljšanju klasifikacije ranjivosti za programere i potrošače softvera otvorenog koda. Cilj OSV-a je pružiti tačne podatke o tome gdje je ranjivost uvedena i gdje je otklonjena, pomažući tako potrošačima softvera otvorenog koda da precizno utvrde jesu li pogođeni i zatim izvrše sigurnosne popravke što je brže moguće. Započeli smo OSV s nizom podataka o ranjivim ranjivostima koje je pronašla usluga OSS-Fuzz. Projekt OSV razvio se iz naših nedavnih napora da poboljšamo upravljanje ranjivostima otvorenog koda (okvir „Znaj, spriječi, popravi“).

Upravljanje ranjivostima može biti bolno i za potrošače i za one koji održavaju softver otvorenog koda, a u mnogim slučajevima uključuje dosadan ručni rad.

Glavna svrha stvoriti OSV je pojednostaviti postupak informiranja održavača paketa o ranjivostima tačno identificiranje verzija i urezivanja na koje problem utječe. Prisutni podaci omogućuju na nivou predavanja i oznaka da prate manifestaciju ranjivosti i analiziraju podložnost problemu derivata i zavisnosti.

Pored traženja ranjivosti, to bi također trebalo automatizirati pretragu pogođenih verzija. Za to se usluga temelji na automatiziranim procesima analize utjecaja i bisekcije. Potonji se koristi za pronalaženje potvrde da ste u projekt unijeli određenu grešku. 

Svatko tko koristi biblioteku otvorenog koda može pristupiti OSV-u putem API-ja i vidjeti je li na određenu verziju pogođena pronađena ranjivost. Za upit je potreban API ključ iz Google API konzole.

Za potrošače softvera otvorenog koda često je teško dodijeliti ranjivost kao što je unos Common Vulnerabilities and Exposures (CVE) verzijama paketa koje koriste. To je zbog činjenice da sheme kontrole verzija postojećih standarda ranjivosti (kao što je Common Platform Enumeration (CPE)) ne odgovaraju dobro stvarnim shemama kontrole verzija otvorenog koda, koje su obično verzije / oznake i hashovi potvrde. Rezultat su previdjene ranjivosti koje utječu na potrošače nižeg nivoa.

Na primjer, API vam omogućava da zatražite informacije o prisutnosti ranjivosti brojem potvrde ili verzijom programa. Trenutno baza podataka sadrži oko 25 hiljada utvrđenih problema u automatskom fuzzing procesu testiranja u OSS-Fuzz sistemu, koji pokriva kod više od 380 projekata otvorenog koda u C / C ++.

Planiramo raditi sa zajednicama otvorenog koda kako bi se skalirali s podacima iz različitih jezičnih ekosistema (npr. NPM, PyPI) i izgradili cjevovod za održavače paketa koji podnose ranjivosti uz minimalan rad.

U budućnosti se planira povezivanje dodatnih izvora informacija o ranjivostima baze podataka. Na primjer, radi se na integriranju informacija o ranjivostima u projekte na jeziku Go, kao i u ekosustave NPM i PyPl.

Napokon, ako želite znati više o tome, možete se posavjetovati sljedeći link.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.