Google запустил сервис OSV (Open Source Vulnerabilities)

Компания Google ввела в строй новый сервис OSV (Open Source Vulnerabilities), предлагающий доступ к базе данных с информацией об уязвимостях в открытом ПО. Сервис предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме.

Основной целью создания OSV является упрощение процесса информирования мэйнтейнеров пакетов об уязвимостях, благодаря точному определению версий и коммитов, которые затрагивает проблема. Присутствующие данные позволяют на уровне коммитов и тегов отследить проявление уязвимости и проанализировать подверженность проблеме производных продуктов и зависимостей. Например, API позволяет запросить информацию о наличии уязвимостей по номеру коммита или версии программы.



В настоящее время в базе присутствуют около 25 тысяч проблем, выявленных в процессе автоматизированного fuzzing-тестирования в системе OSS-Fuzz, охватывающего код более 380 открытых проектов на языках C/C++. В будущем к БД планируется подключить дополнительные источники информации об уязвимостях. Например, ведётся работа по интеграции информации об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl.