seostock
07.02.2021, 10:03
Цель проекта OSV (https://osv.dev/) — в ускоренном информировании мейнтейнеров об уязвимостях, их статусе и истории их исправления. Также проект позволяет отследить влияние уязвимостей на производные продукты. Об этом cообщается (https://opensource.googleblog.com/2021/02/launching-osv-better-vulnerability.html) в блоге Google.
Управление уязвимостями может быть весь проблематичным, как для потребителей, так и для разработчиков программного обеспечения с открытым исходным кодом, поскольку во многих случаях требуется утомительная ручная работа.
Для потребителей программного обеспечения с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую как запись Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей (таких как Common Platform Enumeration (CPE) ) не соответствуют фактическим схемам управления версиями с открытым исходным кодом, которые обычно представляют собой версии / теги и хэши фиксации. Результатом являются упущенные уязвимости, которые влияют на последующих потребителей.
Новый сервис Google предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме.
OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В будущем к БД планируется подключить информацию об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl.
https://www.securitylab.ru/news/516287.php (https://www.securitylab.ru/news/516287.php?ref=123)
Управление уязвимостями может быть весь проблематичным, как для потребителей, так и для разработчиков программного обеспечения с открытым исходным кодом, поскольку во многих случаях требуется утомительная ручная работа.
Для потребителей программного обеспечения с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую как запись Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей (таких как Common Platform Enumeration (CPE) ) не соответствуют фактическим схемам управления версиями с открытым исходным кодом, которые обычно представляют собой версии / теги и хэши фиксации. Результатом являются упущенные уязвимости, которые влияют на последующих потребителей.
Новый сервис Google предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме.
OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В будущем к БД планируется подключить информацию об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl.
https://www.securitylab.ru/news/516287.php (https://www.securitylab.ru/news/516287.php?ref=123)