Google ilmoitti äskettäin uusi palvelu nimeltään "OSV" (Avoimen lähdekoodin heikkoudet), jotka taitarjoaa pääsyn avoimen lähdekoodin ohjelmistojen haavoittuvuuksia koskevaan tietokantaan.
Palvelu tarjoaa API: n Tämä mahdollistaa haavoittuvuustietojen saamisen pyyntöjen automatisoimisen viittaamalla arkiston tilaan koodilla. Haavoittuvuuksille määritetään OSV-tunnisteet erilliset, jotka täydentävät CVE: tä laajennetuilla tiedoilla.
Erityisesti OSV-tietokanta heijastaa ongelmanratkaisun tilaa, vahvistukset ilmaistaan haavoittuvuuden ulkonäöllä ja korjauksella, haavoittuvien versioiden valikoimalla, linkeillä projektivarastoon koodilla ja ilmoituksella ongelmasta.
Olemme innostuneita julkaisemaan OSV: n (avoimen lähdekoodin heikkoudet), ensimmäisen askeleemme kohti avoimen lähdekoodin ohjelmistojen kehittäjien ja kuluttajien haavoittuvuusluokituksen parantamista. OSV: n tavoitteena on tarjota tarkkoja tietoja siitä, mihin haavoittuvuus on tuotu ja missä se on korjattu, mikä auttaa avoimen lähdekoodin ohjelmistokuluttajia tunnistamaan tarkasti, onko heihin vaikutusta, ja tekemään sitten tietoturvakorjauksia mahdollisimman nopeasti. Olemme aloittaneet OSV: n tietokokonaisuudella fuusioiduista haavoittuvuuksista, jotka OSS-Fuzz-palvelu on löytänyt. OSV-projekti kehittyi viimeaikaisista pyrkimyksistämme parantaa avoimen lähdekoodin haavoittuvuuksien hallintaa ("Know, Prevent, Fix" -kehys).
Haavoittuvuuksien hallinta voi olla tuskallista sekä kuluttajille että avoimen lähdekoodin ohjelmistojen ylläpitäjille, ja siihen liittyy usein työlästä manuaalista työtä.
Päätarkoitus luoda OSV yksinkertaistaa pakettien ylläpitäjille tiedottamista haavoittuvuuksista tunnistamalla versiot ja sitoumukset, joihin ongelma vaikuttaa. Läsnä olevan tiedon avulla sitoumusten ja tunnisteiden tasolla voidaan seurata haavoittuvuuden ilmenemistä ja analysoida alttiutta johdannaisten ja riippuvuuksien ongelmalle.
Haavoittuvuuksien etsimisen lisäksi sen pitäisi myös automatisoida haettujen versioiden haku. Tätä varten palvelu perustuu automaattisiin vaikutusten analysointiin ja puolittamiseen. Jälkimmäistä käytetään vahvistuksen löytämiseen tietyn virheen hankkeesta.
Jokainen avoimen lähdekoodin kirjastoa käyttävä voi käyttää OSV: tä API: n kautta ja nähdä, onko löydetty haavoittuvuus tiettyyn versioon. Kyselyyn tarvitaan API-avain Google-sovellusliittymäkonsolista.
Avoimen lähdekoodin ohjelmistojen kuluttajille on usein vaikeaa määrittää haavoittuvuus, kuten yhteiset haavoittuvuudet ja altistukset (CVE) -merkintä käyttämiinsä pakettiversioihin. Tämä johtuu siitä, että nykyisten haavoittuvuusstandardien (kuten Common Platform Enumeration (CPE)) versiojärjestelmät eivät vastaa hyvin todellisia avoimen lähdekoodin versiojärjestelmiä, jotka ovat yleensä versioita / tunnisteita ja vahvistushajauksia. Tuloksena on unohdettuja haavoittuvuuksia, jotka vaikuttavat jatkokäyttäjiin.
Esimerkiksi sovellusliittymän avulla voit pyytää tietoja haavoittuvuuksista vahvistusnumerolla tai ohjelmaversiolla. Tällä hetkellä tietokanta sisältää noin 25 tuhatta tunnistettua ongelmaa automatisoidussa fuzzing-testausprosessissa OSS-Fuzz-järjestelmässä, joka kattaa yli 380 avoimen lähdekoodin projektin koodin C / C ++: ssa.
Suunnittelemme työskentelemään avoimen lähdekoodin yhteisöjen kanssa skaalattavaksi eri kieliekosysteemien (esim. NPM, PyPI) tiedoilla ja rakentamaan paketin ylläpitäjille suunniteltua putkea haavoittuvuuksien lähettämiseksi mahdollisimman vähän työtä.
Tulevaisuudessa on tarkoitus yhdistää muita tietolähteitä tietokannan haavoittuvuuksista. Esimerkiksi haavoittuvuustietojen integroimiseksi tehdään hankkeita Go-kielellä sekä NPM- ja PyPl-ekosysteemeissä.
Lopuksi, jos haluat tietää enemmän siitä, voit ottaa yhteyttä seuraava linkki.