Share This
Связаться со мной
Крути в низ
Categories
//Google запустила программу поиска уязвимостей в открытых проектах

Google запустила программу поиска уязвимостей в открытых проектах

06.02.2021Category : My Habr

Google объявила о запуске программы OSV (Open Source Vulnerabilities) для поиска уязвимостей в программном обеспечении с открытым исходным кодом. В рамках OSV будут собираться точные данные о том, где была обнаружена уязвимость и как она была исправлена. Это поможет пользователям точно определить, подвержены ли они данной уязвимости.

google zapustila programmu poiska ujazvimostej v otkrytyh proektah c6e504d - Google запустила программу поиска уязвимостей в открытых проектах

В OSV уже внесли набор данных об уязвимостях фаззинга, обнаруженных службой OSS-Fuzz.

Как объяснили в Google, пользователям ПО с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую ​​как Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей, таких как Common Platform Enumeration (CPE), не соответствуют фактическим схемам управления версиями с открытым исходным кодом.

Точно так же специалистам по сопровождению требуется время, чтобы определить точный список уязвимых версий. При этом многие проекты с открытым исходным кодом, в том числе критически важные для современной инфраструктуры, испытывают нехватку ресурсов и перегружены работой.

Задача OSV состоит в том, чтобы уменьшить объем работы, необходимой сопровождающим для публикации уязвимостей, и повысить точность запросов для потребителей путем публикации метаданных в базе, которую легко запрашивать.

OSV также поможет упростить процесс отчетности об уязвимостях для сопровождающего пакета с открытым исходным кодом, точно определяя список уязвимых версий и коммитов. Для этого необходимо будет предоставить коммиты, которые вводят и исправляют ошибки. Если эта информация недоступна, OSV потребует предоставить тестовый пример воспроизведения ошибки, чтобы найти эти коммиты в автоматическом режиме.

google zapustila programmu poiska ujazvimostej v otkrytyh proektah 8542137 - Google запустила программу поиска уязвимостей в открытых проектах

Пользователь будет отправлять запрос в OSV с версией пакета или хешем фиксации в качестве входных данных. OSV будет искать набор уязвимостей, влияющих на эту конкретную версию, и возвращать его списком.

OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В Google пообещали наладить работу с сообществами из различных языковых экосистем (например, NPM и PyPI) и упростить процесс, позволяющий разработчикам пакетов сообщать об уязвимостях.

Репозиторий проекта размещен на GitHub.

  • 4 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Связаться со мной
Close