OSV, сервис Google, чтобы узнать об уязвимостях в открытом исходном коде

 

Google недавно объявил о запуске новая услуга называется «ОСВ» (Уязвимости с открытым исходным кодом), которые илиобеспечивает доступ к базе данных об уязвимостях в программном обеспечении с открытым исходным кодом.

Обслуживание предоставляет API что позволяет автоматизировать формирование запросов на получение информации об уязвимостях, с привязкой к статусу репозитория с кодом. Уязвимости присваиваются идентификаторы OSV. отдельные, которые дополняют CVE расширенной информацией.

В частности, база данных OSV отражает статус решения проблемы, подтверждения указываются с появлением и устранением уязвимости, диапазоном уязвимых версий, ссылками на репозиторий проекта с кодом и уведомлением о проблеме.

Мы рады запустить OSV (уязвимости с открытым исходным кодом), наш первый шаг к улучшению классификации уязвимостей для разработчиков и потребителей программного обеспечения с открытым исходным кодом. Цель OSV - предоставить точные данные о том, где была обнаружена уязвимость и где она была исправлена, тем самым помогая потребителям программного обеспечения с открытым исходным кодом точно определить, подвержены ли они уязвимости, а затем как можно быстрее внести исправления в систему безопасности. Мы начали OSV с набора данных об уязвимостях фаззинга, обнаруженных службой OSS-Fuzz. Проект OSV развился из наших недавних усилий по улучшению управления уязвимостями с открытым исходным кодом (структура «Знай, предотвращай, исправляй»).

Управление уязвимостями может быть болезненным как для потребителей, так и для тех, кто поддерживает программное обеспечение с открытым исходным кодом, и во многих случаях требует утомительной ручной работы.

Главная цель создать OSV для упрощения процесса информирования сопровождающих пакетов об уязвимостях точное определение версий и коммитов, затронутых проблемой. Присутствующие данные позволяют на уровне коммитов и тегов отслеживать проявление уязвимости и анализировать подверженность проблеме производных и зависимостей.

Помимо поиска уязвимостей, он также должен автоматизировать поиск уязвимых версий. Для этого в основе сервиса лежат автоматизированные процессы анализа ударов и деления пополам. Последний используется для поиска подтверждения того, что вы ввели конкретную ошибку в проект. 

Любой, кто использует библиотеку с открытым исходным кодом, может получить доступ к OSV через API и посмотреть, подвержена ли конкретная версия обнаруженной уязвимости. Для запроса требуется ключ API из консоли Google API.

Для потребителей программного обеспечения с открытым исходным кодом часто бывает трудно назначить уязвимость, такую ​​как запись Common Vulnerabilities and Exposures (CVE), версиям пакета, которые они используют. Это связано с тем, что схемы управления версиями существующих стандартов уязвимостей (таких как Common Platform Enumeration (CPE)) не соответствуют фактическим схемам управления версиями с открытым исходным кодом, которые обычно представляют собой версии / теги и хэши подтверждения. В результате упускаются из виду уязвимости, влияющие на потребителей, находящихся ниже по течению.

Например, API позволяет запрашивать информацию о наличии уязвимостей. по номеру подтверждения или версии программы. В настоящее время в базе данных содержится около 25 тысяч выявленных проблем. в процессе автоматизированного тестирования фаззинга в системе OSS-Fuzz, охватывающей код более 380 проектов с открытым исходным кодом на C / C ++.

Мы планируем работать с сообществами с открытым исходным кодом для масштабирования с данными из различных языковых экосистем (например, NPM, PyPI) и построить конвейер для сопровождающих пакетов, чтобы отправлять уязвимости с минимальными усилиями.

В будущем планируется подключение дополнительных источников информации. об уязвимостях к базе данных. Например, ведется работа по интеграции информации об уязвимостях в проектах на языке Go, а также в экосистемах NPM и PyPl.

Наконец, если вы хотите узнать об этом больше, вы можете проконсультироваться по следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.