lswcap
为了解决与开源项目相关的漏洞,谷歌正在构建一个漏洞数据库,即开源漏洞 (OSV)。在 2021 年 6 月 24 日的公告中,透露 OSV 处理的开源项目范围扩大到包括 Python、Rust、Go 和 DWF。
虽然很多公司和开发者都使用源代码已经发布的开源软件,但是开源软件由于其性质存在一定的安全风险。例如,迄今为止的研究已经证实,84% 的商业代码库包含一个或多个开源漏洞。开源库漏洞可以通过简单的更新来修复,但事实证明,79% 的开发人员不会在他们的代码中更新第三方库。在这种情况下,问题被指出,许多基于代码的开源漏洞仍未修复。
为了解决这个问题,谷歌在 2 月份推出了 OSV。解决开源漏洞需要首先评估漏洞风险的漏洞评估,但这需要时间和精力。 OSV 旨在改进漏洞筛选过程。
OSV 记录了首次识别和修复漏洞的位置数据,帮助开发人员了解漏洞的影响。在披露时,谷歌存储了针对 OSV 中各种开源的模糊数据。
接下来,6 月 24 日,谷歌宣布将把 OSV 处理的开源项目范围扩大到 Python、Rust、Go 和 DWF。
开源漏洞数据库以公司和组织可以单独创建的多种独特格式编写。挑战在于客户需要跨多个数据库跟踪漏洞并单独解决每个漏洞。 Google 与各种开源社区合作研究漏洞交换方案。这种模式导致漏洞以人类和自动化工具都可以使用的格式在多个开源项目中写入。
Google 通过从各种社区合作中获取反馈来扩展 OSV。谷歌表示,在格式稳定后,社区参与者对他们现有的漏洞数据集进行了修改,以匹配 OSV 模式格式。相关信息可以在这里找到。
Add comment