Google a récemment annoncé le lancement de un nouveau service appelé « OSV » (Vulnérabilités Open Source), qui oudonne accès à une base de données d'informations sur les vulnérabilités des logiciels open source.
Le service fournit une API qui permet d'automatiser la formation des requêtes pour obtenir des informations sur les vulnérabilités, en référence à l'état du référentiel avec le code. Les vulnérabilités se voient attribuer des identifiants OSV séparer qui complètent le CVE avec des informations étendues.
En particulier, la base de données OSV reflète l'état de la solution du problème, les confirmations sont indiquées avec l'apparition et la réparation de la vulnérabilité, la gamme des versions vulnérables, les liens vers le référentiel du projet avec le code et la notification du problème.
Nous sommes ravis de publier OSV (Open Source Vulnerabilities), notre première étape vers l'amélioration de la classification des vulnérabilités pour les développeurs et les consommateurs de logiciels open source. L'objectif d'OSV est de fournir des données précises sur l'endroit où une vulnérabilité a été introduite et où elle a été corrigée, aidant ainsi les consommateurs de logiciels open source à identifier avec précision s'ils sont affectés et à apporter des correctifs de sécurité le plus rapidement possible. Nous avons lancé OSV avec un ensemble de données de vulnérabilités de fuzzing trouvées par le service OSS-Fuzz. Le projet OSV a évolué à partir de nos efforts récents pour améliorer la gestion des vulnérabilités open source (framework «Know, Prevent, Fix»).
La gestion des vulnérabilités peut être pénible tant pour les consommateurs que pour les mainteneurs de logiciels open source et, dans de nombreux cas, implique un travail manuel fastidieux.
L'objectif principal pour créer OSV est de simplifier le processus d'information des mainteneurs de paquets sur les vulnérabilités identifier avec précision les versions et les validations affectées par le problème. Les données présentes permettent au niveau des commits et des balises de suivre la manifestation de la vulnérabilité et d'analyser la sensibilité au problème des dérivés et des dépendances.
En plus de rechercher des vulnérabilités, il devrait également automatiser la recherche des versions concernées. Pour cela, le service s'appuie sur des processus automatisés d'analyse d'impact et de bissection. Ce dernier est utilisé pour trouver la confirmation que vous avez introduit un bogue particulier dans le projet.
Toute personne utilisant une bibliothèque open source peut accéder à OSV via une API et voir si une version particulière est affectée par une vulnérabilité trouvée. Une clé API de la console API Google est requise pour la requête.
Pour les consommateurs de logiciels open source, il est souvent difficile d'attribuer une vulnérabilité telle qu'une entrée CVE (Common Vulnerabilities and Exposures) aux versions de package qu'ils utilisent. Cela est dû au fait que les schémas de version des normes de vulnérabilité existantes (telles que Common Platform Enumeration (CPE)) ne correspondent pas bien aux schémas de version open source réels, qui sont généralement des versions / balises et des hachages de confirmation. Le résultat est des vulnérabilités négligées qui affectent les consommateurs en aval.
Par exemple, l'API vous permet de demander des informations sur la présence de vulnérabilités par numéro de confirmation ou version du programme. Actuellement, la base de données contient environ 25 mille problèmes identifiés dans le processus de test de fuzzing automatisé dans le système OSS-Fuzz, qui couvre le code de plus de 380 projets open source en C / C ++.
Nous prévoyons de travailler avec des communautés open source pour évoluer avec des données provenant de divers écosystèmes linguistiques (par exemple NPM, PyPI) et construire un pipeline pour que les responsables de paquets soumettent des vulnérabilités avec un minimum de travail.
À l'avenir, il est prévu de connecter des sources d'informations supplémentaires sur les vulnérabilités de la base de données. Par exemple, des travaux sont en cours pour intégrer les informations sur les vulnérabilités dans les projets en langage Go, ainsi que dans les écosystèmes NPM et PyPl.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter le lien suivant.