漏洞資訊 Vulnerability Information
Google 將 Python、Rust、Go 和 DWF 納入開源的漏洞數據庫
2021-07-01
Google今天宣佈,它已經擴展了其開源漏洞數據庫(Open Source Vulnerabilities, OSV),以納入更多開源項目的數據,使用一個統一的模式來 「精確描述漏洞「。
開源軟體的好處很多,但漏洞的隱憂卻也很大。絕大多數代碼庫至少包含一個已知的開源漏洞,而本周的一份報告認為,更多的時候,開發人員在將第三方庫納入他們的軟體後並沒有更新它們。該報告還指出,92%的開源庫缺陷可以通過簡單的更新輕松修復。
開源軟體影響巨大,從小型的新創公司到大型企業,公司在他們的大部分應用中都依賴社區驅動的組件。因此,確保開源軟體得到適當的維護是很重要的。
漏洞分流 Vulnerability triage
今年2月,Google推出了開源漏洞數據庫,它稱這是為開發者和其他開源消費者 「改善漏洞分流的第一步「。漏洞分流是對軟體組件中的已知缺陷按其對使用該組件的應用程式構成的風險進行評估和排序的過程。
OSV提供了的訊息包含漏洞首次出現的地方和它被修復的地方的數據,因此開發者可以更好地瞭解他們受到的影響。在推出時,OSV包括從Google主導的OSS-Fuzz服務中收集的 「fuzzing「(一種發現軟體編程錯誤的技術)漏洞數據,該服務與數百個開源項目相整合。
Google最新擴展的OSV,包括來自主要開源項目的漏洞數據庫,有Python、Rust、Go和DWF。
從多個開源數據庫匯總數據的主要挑戰之一是,它們可能遵守不同的格式,通常由個別組織創建。這種分佈式的模式使得統一並以通用語言描述漏洞變得更加困難。因此,Google與更廣泛的開源社區一起,一直在研究一個 「漏洞交換模式」以人類和自動化工具都能使用的格式來描述各開源項目的漏洞。
鑒於合作是開源軟體的核心宗旨,擴大OSV以包括其他開源生態系統需要所有參與的維護者的積極參與。
「Google軟體工程師Oliver Chang告訴VentureBeat:「他們的反饋有助於迭代、改進和普及該格式。在該格式處於穩定狀態後,他們對其現有的漏洞數據集進行了一些修改,以匹配OSV模式格式。這允許在OSV服務中聚合他們的數據集,任何人都可以用它來查詢其開源依賴的漏洞。」
Google最近似乎加倍了對其開源安全的投資。上周,它提出了一個新的 「供應鏈完整性的端到端框架」(end-to-end framework for supply chain integrity),稱為 「軟體工件的供應鏈級別」(Supply Chain Levels for Software Artifacts, SLSA),它為不同的軟體包指定了安全認證級別。這家網際網路巨頭也是 Linux 基金會一個名為 Sigstore 的新項目的創始成員,該項目旨在幫助軟體開發者確認軟體的來源和真實性。今年 2 月,Google 透露它將承擔兩名 Linux 內核開發者的工資,以幫助提高安全性。
由於 Google 正在等待開源社區的進一步反饋,新的漏洞模式規範還沒有最終確定。然而,OSS-Fuzz、Python、Rust、Go和 DWF 現在都在輸出這種格式,而且OSV已經將這些漏洞數據庫合並到一個公共門戶,也可以通過現有的 API 用一個命令來查詢。