Google最近宣布推出 一项名为 “OSV” (开源漏洞),或者提供对开放源软件中漏洞信息数据库的访问。
该服务 提供一个API 通过使用代码参考存储库的状态,可以自动形成请求以获取有关漏洞的信息。 漏洞被分配了OSV标识符 通过扩展信息来补充CVE。
特别是, OSV数据库反映问题解决方案的状态,确认中会显示漏洞的外观和修复,漏洞版本的范围,带有代码的项目存储库链接以及问题通知。
我们很高兴推出OSV(开放源代码漏洞),这是我们为开放源代码软件的开发人员和消费者改进漏洞分类的第一步。 OSV的目标是提供有关漏洞引入和修复位置的准确数据,从而帮助开源软件使用者准确识别漏洞是否受到影响,然后尽快进行安全修复。 我们使用OSS-Fuzz服务发现的模糊漏洞数据集启动了OSV。 OSV项目是我们最近为改进开放源代码漏洞管理(“了解,防止,修复”框架)而做出的努力。
管理漏洞对于开源软件的使用者和维护者而言都是痛苦的,并且在许多情况下涉及繁琐的手工工作。
主要的意思 创建OSV 是为了简化通知程序包维护人员有关漏洞的过程 准确地确定受该问题影响的版本和提交。 呈现的数据允许在提交和标签级别跟踪漏洞的表现并分析对派生和依赖关系问题的敏感性。
除了寻找漏洞之外, 它还应该自动搜索受影响的版本。 为此,该服务基于影响分析和二等分的自动化流程。 后者用于查找您在项目中引入了特定错误的确认。
使用开源库的任何人都可以通过API访问OSV,并查看特定版本是否受发现的漏洞影响。 查询需要来自Google API控制台的API密钥。
对于开源软件的使用者,通常很难将漏洞(例如,常见漏洞和披露(CVE)条目)分配给他们使用的软件包版本。 这是由于现有漏洞标准的版本控制方案(例如,通用平台枚举(CPE))与实际的开源版本控制方案(通常是版本/标签和确认哈希)不太吻合。 结果是忽略了影响下游消费者的漏洞。
例如,API允许您请求有关漏洞存在的信息 按确认号或程序版本。 目前,该数据库包含约25个已发现的问题 在OSS-Fuzz系统中的自动模糊测试过程中,它涵盖了C / C ++中380多个开源项目的代码。
我们计划与开源社区合作,以利用来自各种语言生态系统(例如NPM,PyPI)的数据进行扩展,并为打包维护者以最少的工作提交漏洞提供渠道。
将来,计划连接其他信息源 关于数据库的漏洞。 例如,正在努力以Go语言以及NPM和PyPl生态系统集成有关漏洞的信息。
最后,如果您想了解更多信息,可以咨询 以下链接。