गुगलने नुकतीच लाँच करण्याची घोषणा केली एक नवीन सेवा म्हणतात «ओएसव्ही» (मुक्त स्त्रोत असुरक्षा), किंवा किंवामुक्त स्त्रोत सॉफ्टवेअरमधील असुरक्षा विषयी माहितीच्या डेटाबेसमध्ये प्रवेश प्रदान करते.
सेवा एक API प्रदान करते कोडसह रेपॉजिटरीच्या स्थिती संदर्भात असुरक्षा विषयी माहिती मिळविण्यासाठी विनंत्यांची निर्मिती स्वयंचलित करण्यास अनुमती देते. असुरक्षा ओएसव्ही अभिज्ञापक नियुक्त केले आहेत विस्तारित माहितीसह सीव्हीई पूरक असलेले वेगळे करा.
विशेषतः ओएसव्ही डेटाबेस समस्येच्या समाधानाची स्थिती प्रतिबिंबित करतो, पुष्टीकरण असुरक्षिततेचे स्वरूप आणि दुरुस्ती, असुरक्षित आवृत्तींची श्रेणी, कोडसह प्रकल्प भांडारातील दुवे आणि समस्येच्या सूचनेसह सूचित केले आहेत.
ओएसव्ही (मुक्त स्रोत असुरक्षा) सोडण्यास आम्ही उत्सुक आहोत, ओपन सोर्स सॉफ्टवेअरच्या विकसक आणि ग्राहकांसाठी असुरक्षितता वर्गीकरण सुधारण्याच्या आमची पहिली पायरी. ओएसव्हीचे उद्दीष्ट हे आहे की एखाद्या असुरक्षाची ओळख कोठे आणली गेली आणि कोठे निश्चित केली गेली याचा अचूक डेटा प्रदान करणे, यामुळे मुक्त स्त्रोत सॉफ्टवेअर ग्राहकांना त्यांच्यावर परिणाम झाला आहे की नाही हे अचूकपणे ओळखण्यास मदत करणे आणि नंतर शक्य तितक्या लवकर सुरक्षा निर्धारण करणे. ओएसएस-फझ सेवेद्वारे सापडलेल्या अस्पष्ट असुरक्षांच्या डेटा सेटसह आम्ही ओएसव्ही प्रारंभ केला आहे. ओएसव्ही प्रोजेक्ट ओपन सोर्स असुरक्षा व्यवस्थापन ("जाणून घ्या, प्रतिबंध करा, निश्चित करा" फ्रेमवर्क) सुधारित करण्यासाठी आमच्या अलीकडील प्रयत्नांमधून विकसित झाले.
ओपन सोर्स सॉफ्टवेअरच्या ग्राहक आणि असुरक्षिततेचे व्यवस्थापन करणे दोघांनाही त्रासदायक ठरू शकते आणि बर्याच प्रकरणांमध्ये दमछाक करणारी मॅन्युअल कामे समाविष्ट असतात.
मुख्य उद्देश ओएसव्ही तयार करण्यासाठी पॅकेज देखभालकर्त्यांना असुरक्षा विषयी माहिती देण्याची प्रक्रिया सुलभ करणे समस्येवर परिणाम झालेल्या आवृत्त्या आणि अभिप्रायांची अचूक ओळख सादर केलेला डेटा कमिट्स आणि टॅग स्तरावर असुरक्षिततेच्या अभिव्यक्तीचा मागोवा घेण्यास आणि डेरिव्हेटिव्ह्ज आणि अवलंबित्वांच्या समस्येच्या संवेदनशीलतेचे विश्लेषण करण्यास अनुमती देतो.
असुरक्षा शोधण्याव्यतिरिक्त, तसेच प्रभावित आवृत्त्यांचा शोध स्वयंचलितरित्या केला पाहिजे. यासाठी, सेवा प्रभाव विश्लेषण आणि दुभाजनांच्या स्वयंचलित प्रक्रियांवर आधारित आहे. नंतरचे हे आपण प्रकल्पात विशिष्ट बग सादर केल्याची पुष्टीकरण शोधण्यासाठी वापरले जाते.
ओपन सोर्स लायब्ररीचा वापर करणारे कोणीही एपीआयच्या माध्यमातून ओएसव्हीमध्ये प्रवेश करू शकतात आणि आढळल्यास असुरक्षिततेमुळे विशिष्ट आवृत्तीवर परिणाम झाला आहे की नाही हे ते पाहू शकतात. क्वेरीसाठी Google एपीआय कन्सोलची एक API की आवश्यक आहे.
ओपन सोर्स सॉफ्टवेअरच्या ग्राहकांसाठी, वापरत असलेल्या पॅकेज आवृत्त्यांमध्ये सामान्य असुरक्षितता आणि एक्सपोजर (सीव्हीई) प्रविष्टी सारख्या असुरक्षिततेची नोंद करणे कठीण असते. हे विद्यमान असुरक्षा मानकांच्या आवृत्तीकरण योजना (जसे की कॉमन प्लॅटफॉर्म एन्युमेरेशन (सीपीई)) वास्तविक मुक्त स्त्रोत आवृत्तीकरण योजनांशी योग्यरित्या जुळत नाही, जे सहसा आवृत्त्या / टॅग्ज आणि पुष्टीकरण हॅश असतात. याचा परिणाम डाउनस्ट्रिम ग्राहकांवर परिणाम करणारे असुरक्षाकडे दुर्लक्ष केले जाते.
उदाहरणार्थ, एपीआय आपल्याला असुरक्षा उपस्थितीबद्दल माहितीची विनंती करण्यास परवानगी देते पुष्टीकरण क्रमांक किंवा प्रोग्राम आवृत्तीद्वारे. सध्या डेटाबेसमध्ये जवळपास 25 हजार समस्या ओळखल्या गेल्या आहेत ओएसएस-फझ सिस्टममध्ये स्वयंचलित अस्पष्ट चाचणी प्रक्रियेमध्ये, जे सी / सी ++ मधील 380 पेक्षा जास्त मुक्त स्त्रोत प्रकल्पांचा कोड व्यापते.
आम्ही विविध भाषीय पर्यावरणातील डेटाचे मोजमाप करण्यासाठी मुक्त स्त्रोत समुदायासह कार्य करण्याचे नियोजन करीत आहोत (उदा. एनपीएम, पायपीआय) आणि कमीतकमी कार्यासह असुरक्षा सबमिट करण्यासाठी पॅकेज देखभालकर्त्यांसाठी एक पाइपलाइन तयार करणे.
भविष्यात माहितीच्या अतिरिक्त स्त्रोतांना जोडण्याची योजना आहे डेटाबेसच्या असुरक्षा वर. उदाहरणार्थ, गो भाषेतील प्रकल्पांमधील असुरक्षा, तसेच एनपीएम आणि पायपिल इकोसिस्टममध्ये माहिती एकत्रित करण्याचे काम केले जात आहे.
शेवटी, जर आपल्याला त्याबद्दल अधिक जाणून घ्यायचे असेल तर आपण सल्लामसलत करू शकता खालील दुवा.