Google今天宣布擴展開源漏洞(OSV)數據庫,使用“精確描述漏洞”的統一模式納入Python、Rust、Go 和 DWF 等更多開源項目的數據。雖然開源軟件存在諸多優勢,但漏洞問題也日益突顯。
絕大多數代碼庫至少包含一個已知的開源漏洞,而本周的一份報告認為更多的時候,開發人員在將第三方庫納入他們的軟件后並沒有更新它們。該報告還指出,92% 的開源庫缺陷可以通過簡單的更新輕鬆修復。
開源軟件影響着幾乎所有的人,無處不在。從小型創業公司到大型企業,公司在他們的大部分應用中都依賴社區驅動的組件。因此,確保開源軟件得到適當的維護,符合每個人的利益。
今年 2 月,Google推出了開源漏洞數據庫(Open Source Vulnerabilities,簡稱 OSV)。Google稱這是為開發者和其他開源消費者“改善漏洞分流(vulnerability triage)的第一步”。漏洞分流是對軟件組件中的已知缺陷按其對使用該組件的應用程序構成的風險進行評估和排序的過程。
今天,Google正在擴展 OSV,包括來自主要開源項目的漏洞數據庫,包括Python、Rust、Go和DWF。從多個開源數據庫匯總數據的主要挑戰之一是,它們可能遵守不同的格式,通常由個別組織創建。這種分佈式的模式使得統一併以通用語言描述漏洞變得更加困難。因此,Google與更廣泛的開源社區一起,一直在研究一個 “漏洞交換模式”,以人類和自動化工具都能使用的格式來描述各開源項目的漏洞。
Google軟件工程師 Oliver Chang 告訴 VentureBeat:“他們的反饋有助於迭代、改進和普及該格式。”在該格式處於穩定狀態后,他們對其現有的漏洞數據集進行了一些修改,以匹配OSV模式格式。這允許在OSV服務中聚合他們的數據集,任何人都可以用它來查詢其開源依賴的漏洞”。