Firma Google niedawno ogłosiła uruchomienie zadzwoniła nowa usługa „OSW” (Luki w zabezpieczeniach oprogramowania typu open source), które lubzapewnia dostęp do bazy danych zawierającej informacje o lukach w oprogramowaniu typu open source.
Usługa zapewnia API co pozwala zautomatyzować formułowanie żądań uzyskania informacji o podatnościach, w odniesieniu do stanu repozytorium z kodem. Luki w zabezpieczeniach mają przypisane identyfikatory OSV oddzielne, które uzupełniają CVE o rozszerzone informacje.
W szczególności baza danych OSV odzwierciedla stan rozwiązania problemu, potwierdzenia są oznaczone pojawieniem się i naprawą podatności, zakresem wersji podatnych, odnośnikami do repozytorium projektu z kodem oraz powiadomieniem o problemie.
Cieszymy się, że możemy uruchomić OSV (Open Source Vulnerabilities), nasz pierwszy krok w kierunku ulepszenia klasyfikacji luk w zabezpieczeniach dla programistów i konsumentów oprogramowania open source. Celem OSV jest dostarczenie dokładnych danych o tym, gdzie wprowadzono lukę i gdzie została naprawiona, pomagając w ten sposób konsumentom oprogramowania open source w dokładnym zidentyfikowaniu, czy są zagrożeni, a następnie jak najszybszym wprowadzeniu poprawek bezpieczeństwa. Uruchomiliśmy OSV z zestawem danych dotyczących fuzzowania luk w zabezpieczeniach znalezionych przez usługę OSS-Fuzz. Projekt OSV rozwinął się w wyniku naszych ostatnich wysiłków zmierzających do usprawnienia zarządzania lukami w zabezpieczeniach oprogramowania typu open source (struktura „Poznaj, zapobiegaj, napraw”).
Zarządzanie lukami w zabezpieczeniach może być bolesne zarówno dla konsumentów, jak i osób obsługujących oprogramowanie typu open source, aw wielu przypadkach wiąże się z żmudną pracą ręczną.
Główny cel stworzyć OSV ma na celu uproszczenie procesu informowania opiekunów pakietów o lukach w zabezpieczeniach dokładne określenie wersji i zatwierdzeń, których dotyczy problem. Obecne dane pozwalają na poziomie zatwierdzeń i tagów śledzić przejawy podatności i analizować podatność na problem pochodnych i zależności.
Oprócz wyszukiwania luk w zabezpieczeniach, Powinien również zautomatyzować wyszukiwanie wersji, których dotyczy problem. W tym celu usługa opiera się na zautomatyzowanych procesach analizy wpływu i bisekcji. Ta ostatnia służy do znalezienia potwierdzenia, że wprowadziłeś konkretny błąd w projekcie.
Każdy, kto korzysta z biblioteki open source, może uzyskać dostęp do OSV za pośrednictwem interfejsu API i sprawdzić, czy dana wersja jest objęta znalezioną luką. Do zapytania wymagany jest klucz API z konsoli Google API.
Konsumentom oprogramowania typu open source często trudno jest przypisać lukę, taką jak wpis Common Vulnerabilities and Exposures (CVE), do używanej wersji pakietu. Wynika to z faktu, że schematy kontroli wersji istniejących standardów podatności (takich jak Common Platform Enumeration (CPE)) nie są dobrze zgodne z rzeczywistymi schematami kontroli wersji open source, którymi są zwykle wersje / tagi i skróty potwierdzające. W rezultacie przeoczono luki w zabezpieczeniach, które mają wpływ na dalszych konsumentów.
Na przykład interfejs API umożliwia zażądanie informacji o obecności luk w zabezpieczeniach według numeru potwierdzenia lub wersji programu. Obecnie baza zawiera około 25 tysięcy zidentyfikowanych problemów w zautomatyzowanym procesie testowania fuzzingu w systemie OSS-Fuzz, który obejmuje kod ponad 380 projektów open source w C / C ++.
Planujemy współpracować ze społecznościami open source, aby skalować dane z różnych ekosystemów językowych (np. NPM, PyPI) i zbudować potok dla opiekunów pakietów w celu zgłaszania luk w zabezpieczeniach przy minimalnym nakładzie pracy.
W przyszłości planowane jest podłączenie dodatkowych źródeł informacji na podatności bazy danych. Na przykład trwają prace nad integracją informacji o lukach w projektach w języku Go, a także w ekosystemach NPM i PyPl.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz skonsultować się poniższy link.