Google запустила программу отслеживания уязвимостей в открытом ПО

Цель проекта OSV — в ускоренном информировании мейнтейнеров об уязвимостях, их статусе и истории их исправления. Также проект позволяет отследить влияние уязвимостей на производные продукты. Об этом cообщается в блоге Google.

Управление уязвимостями может быть весь проблематичным, как для потребителей, так и для разработчиков программного обеспечения с открытым исходным кодом, поскольку во многих случаях требуется утомительная ручная работа.

Для потребителей программного обеспечения с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую ​​как запись Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей (таких как Common Platform Enumeration (CPE) ) не соответствуют фактическим схемам управления версиями с открытым исходным кодом, которые обычно представляют собой версии / теги и хэши фиксации. Результатом являются упущенные уязвимости, которые влияют на последующих потребителей.

Новый сервис Google предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме.

OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В будущем к БД планируется подключить информацию об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl.