OSV, služba Google, kde se dozvíte o zranitelnostech open source

Google nedávno oznámil spuštění volala nová služba "OSV" (Chyby zabezpečení s otevřeným zdrojovým kódem), které neboposkytuje přístup k databázi informací o zranitelných místech v softwaru s otevřeným zdrojovým kódem.

Služby poskytuje API který umožňuje automatizovat formování požadavků na získání informací o zranitelných místech s odkazem na stav úložiště s kódem. Zranitelnosti jsou přiřazeny identifikátory OSV oddělit, které doplňují CVE s rozšířenými informacemi.

Zejména databáze OSV odráží stav řešení problému, potvrzení jsou označena vzhledem a opravou chyby zabezpečení, rozsahem zranitelných verzí, odkazy na úložiště projektu s kódem a oznámením problému.

Jsme nadšení, že můžeme spustit OSV (Open Source Vulnerabilities), náš první krok ke zlepšení klasifikace zranitelnosti pro vývojáře a spotřebitele softwaru s otevřeným zdrojovým kódem. Cílem OSV je poskytnout přesná data o tom, kde byla zranitelnost zavedena a kde byla opravena, což pomáhá spotřebitelům softwaru s otevřeným zdrojovým kódem přesně identifikovat, zda se jich to týká, a poté co nejrychleji provést opravy zabezpečení. Začali jsme OSV s datovou sadou fuzzing zranitelností nalezených službou OSS-Fuzz. Projekt OSV se vyvinul z našeho nedávného úsilí o zlepšení správy zranitelnosti otevřeného zdroje (rámec „Know, Prevent, Fix“).

Správa zranitelných míst může být pro spotřebitele i správce softwaru s otevřeným zdrojovým kódem bolestivá a v mnoha případech vyžaduje zdlouhavou manuální práci.

Hlavní účel vytvořit OSV je zjednodušit proces informování správců balíčků o zranitelnostech přesnou identifikaci verzí a závazků, kterých se problém týká. Data, která jsou k dispozici, umožňují na úrovni revizí a značek sledovat projev zranitelnosti a analyzovat náchylnost k problému derivátů a závislostí.

Kromě vyhledávání zranitelných míst mělo by také automatizovat hledání ovlivněných verzí. Za tímto účelem je služba založena na automatizovaných procesech analýzy dopadů a půlení. Ten slouží k vyhledání potvrzení, že jste do projektu vložili konkrétní chybu. 

Kdokoli, kdo používá knihovnu s otevřeným zdrojovým kódem, může přistupovat k OSV prostřednictvím rozhraní API a zjistit, zda je konkrétní verze ovlivněna nalezenou chybou zabezpečení. Pro dotaz je vyžadován klíč API z konzoly Google API.

Pro spotřebitele softwaru s otevřeným zdrojovým kódem je často obtížné přiřadit zranitelnost, jako je položka Common Vulnerabilities and Exposures (CVE), verzím balíčku, které používají. To je způsobeno skutečností, že schémata řízení verzí stávajících standardů zranitelnosti (například Common Platform Enumeration (CPE)) neodpovídají dobře skutečným schématům řízení verzí open source, kterými jsou obvykle verze / značky a hash potvrzení. Výsledkem jsou přehlížené chyby zabezpečení, které ovlivňují následné zákazníky.

Například API vám umožňuje požadovat informace o přítomnosti zranitelných míst potvrzovacím číslem nebo verzí programu. V současné době databáze obsahuje přibližně 25 tisíc identifikovaných problémů v procesu automatického testování fuzzing v systému OSS-Fuzz, který pokrývá kód více než 380 projektů open source v C / C ++.

Plánujeme pracovat s komunitami otevřených zdrojů, abychom mohli škálovat s daty z různých jazykových ekosystémů (např. NPM, PyPI) a vybudovat kanál pro správce balíčků, aby mohli s minimálním úsilím odeslat chyby zabezpečení.

V budoucnu se plánuje připojení dalších zdrojů informací o zranitelnostech databáze. Pracuje se například na integraci informací o zranitelných místech do projektů v jazyce Go, stejně jako v ekosystémech NPM a PyPl.

Nakonec, pokud se o tom chcete dozvědět více, můžete se poradit následující odkaz.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.