Google今天宣布扩展开源漏洞(OSV)数据库,使用“精确描述漏洞”的统一模式纳入Python、Rust、Go 和 DWF 等更多开源项目的数据。虽然开源软件存在诸多优势,但漏洞问题也日益突显。
绝大多数代码库至少包含一个已知的开源漏洞,而本周的一份报告认为更多的时候,开发人员在将第三方库纳入他们的软件后并没有更新它们。该报告还指出,92% 的开源库缺陷可以通过简单的更新轻松修复。
今年 2 月,Google推出了开源漏洞数据库(Open Source Vulnerabilities,简称 OSV)。Google称这是为开发者和其他开源消费者“改善漏洞分流(vulnerability triage)的第一步”。漏洞分流是对软件组件中的已知缺陷按其对使用该组件的应用程序构成的风险进行评估和排序的过程。
今天,Google正在扩展 OSV,包括来自主要开源项目的漏洞数据库,包括Python、Rust、Go和DWF。从多个开源数据库汇总数据的主要挑战之一是,它们可能遵守不同的格式,通常由个别组织创建。这种分布式的模式使得统一并以通用语言描述漏洞变得更加困难。因此,Google与更广泛的开源社区一起,一直在研究一个 "漏洞交换模式",以人类和自动化工具都能使用的格式来描述各开源项目的漏洞。
Google软件工程师 Oliver Chang 告诉 VentureBeat:“他们的反馈有助于迭代、改进和普及该格式。"在该格式处于稳定状态后,他们对其现有的漏洞数据集进行了一些修改,以匹配OSV模式格式。这允许在OSV服务中聚合他们的数据集,任何人都可以用它来查询其开源依赖的漏洞”。
原文来源:cnBeta.COM
本文始发于微信公众号(网络安全应急技术国家工程实验室):谷歌扩展开源漏洞数据库 用“精确描述漏洞”统一模式纳入更多数据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论