Google於今年2月發表了開源漏洞(Open Source Vulnerability,OSV)資料庫,以提供開源碼專案的漏洞資訊,包括漏洞的存在與修補之處,迄今已支援數百種開源專案,本周Google進一步擴充OSV,宣布納入Python、Rust、Go與DWF等4個大型開源專案,同時推動統一的漏洞資料庫機制。

Google說明,OSV的目的之一是協助使用者不需要耗費大量的人力之下,可辨識與回應安全漏洞,因此必須有一個準確且通用的資料格式,來分類與修復漏洞,特別是在相關漏洞可能對相依專案造成風險之際。

圖片來源_Google

OSV初期奠基於專門尋找開源碼臭蟲的OSS-Fuzz,所產生之數千個漏洞的資料集,使它與數百個開源專案的漏洞資料交流,並於本周宣布將擴大到Python、Rust、Go與DWF等大型專案,納入這4個專案的漏洞資料庫,同時也呼應了美國要求改善網路安全的行政命令,此一於今年5月發表的行政命令,呼籲業者應該要確保產品中所使用開源碼的完整性與出處。

同時,Google也企圖推動一個可精確描述漏洞的統一機制,以方便彼此之間的交流。因為在開源碼的發展中,漏洞資料庫通常是跟著散布模式,且許多生態體系或組織都擁有自己的資料庫,這使得它們都使用自己的格式來描述漏洞,因此,一個採用不同開源專案的客戶,就必須各別追蹤這些專案的漏洞資料庫,也讓不同資料庫之間的漏洞共享變得更困難。

於是Google攜手開源社群與Go團隊,打造了一個簡單的漏洞互換機制,可用來描述開源生態體系的安全漏洞,企圖解決開源社群的漏洞分享問題,以確保版本的規格,必須符合開源碼套件生態體系中,所使用的命名與版本控制機制,可用來描述任何開源生態體系中的安全漏洞,而不需仰賴生態體系的邏輯來處理,以及同時適用於自動化與人工。

共通的格式代表不管是漏洞資料庫、開源專案使用者或是安全研究人員,都能夠跨專案地分享與存取漏洞資訊,Google希望定義出一個允許所有漏洞資料庫,都能輸出的格式。

目前Google及開源社群正在改善該格式,現已接近正式版,同時Google亦已釋出更多的自動化工具以用來維護漏洞資料庫,並打算推廣相關工具予尚未建立漏洞資料庫的開源專案。

熱門新聞

Advertisement