Цель проекта OSV — в ускоренном информировании мейнтейнеров об уязвимостях, их статусе и истории их исправления. Также проект позволяет отследить влияние уязвимостей на производные продукты. Об этом cообщается в блоге Google.

Управление уязвимостями может быть весь проблематичным, как для потребителей, так и для разработчиков программного обеспечения с открытым исходным кодом, поскольку во многих случаях требуется утомительная ручная работа.

Для потребителей программного обеспечения с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую как запись Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей (таких как Common Platform Enumeration (CPE) ) не соответствуют фактическим схемам управления версиями с открытым исходным кодом, которые обычно представляют собой версии / теги и хэши фиксации. Результатом являются упущенные уязвимости, которые влияют на последующих потребителей.

Новый сервис Google предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме.

OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В будущем к БД планируется подключить информацию об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl.

https://www.securitylab.ru/news/516287.php

Google запустил сервис OSV (Open Source Vulnerabilities)

Компания Google ввела в строй новый сервис OSV (Open Source Vulnerabilities), предлагающий доступ к базе данных с информацией об уязвимостях в открытом ПО. Сервис предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме.

Основной целью создания OSV является упрощение процесса информирования мэйнтейнеров пакетов об уязвимостях, благодаря точному определению версий и коммитов, которые затрагивает проблема. Присутствующие данные позволяют на уровне коммитов и тегов отследить проявление уязвимости и проанализировать подверженность проблеме производных продуктов и зависимостей. Например, API позволяет запросить информацию о наличии уязвимостей по номеру коммита или версии программы.

https://www.opennet.ru/opennews/pics...1612591656.png

В настоящее время в базе присутствуют около 25 тысяч проблем, выявленных в процессе автоматизированного fuzzing-тестирования в системе OSS-Fuzz, охватывающего код более 380 открытых проектов на языках C/C++. В будущем к БД планируется подключить дополнительные источники информации об уязвимостях. Например, ведётся работа по интеграции информации об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl.

Вроде бы это давно сделали они?