Стало відомо про те, що компанія Google запустила новий сервіс під назвою Open Source Vulnerabilities. З його допомогою користувачі зможуть отримати доступ до бази даних з інформацією про уразливість в програмному забезпеченні з відкритим вихідним кодом.
В рамках даного сервісу користувачам буде надаватися API, що дозволяє автоматизувати формування запитів для отримання даних про уразливість. Потрапляють в базу Google уразливості будуть отримувати окремі ідентифікатори, що доповнюють CVE розширеною інформацією. Наприклад, в базі OSV відзначається статус виправлення будь-якої проблеми, діапазон схильних до уразливості версій ПЗ і багато іншого.
Мета проекту полягає у спрощенні процесу інформування мейнтейнера пакетів про уразливість за рахунок більш точного визначення версій і коммітов, яких торкається проблемою. Зібрані в базі OSV дані дозволяють на рівні коммітов і тегів відстежувати прояв уразливості і здійснювати аналіз схильності проблеми похідних продуктів. Крім іншого, користувачі зможуть за допомогою сервісу запитувати дані про наявність уразливості за номером коммітов або версії ПЗ.
На даний момент база OSV складається приблизно з 25 тис. Вразливостей, які були виявлені в результаті автоматичного тестування за допомогою системи OSS-Fuzz, що охоплює понад 380 відкритих проектів на мовах C і C++. Надалі розробники мають намір розширити базу шляхом інтеграції нових джерел інформування про уразливість. Вже ведеться робота по додаванню інформації про уразливість в проектах на мові Go.
Comments