Google объявила о запуске программы OSV (Open Source Vulnerabilities) для поиска уязвимостей в программном обеспечении с открытым исходным кодом. В рамках OSV будут собираться точные данные о том, где была обнаружена уязвимость и как она была исправлена. Это поможет пользователям точно определить, подвержены ли они данной уязвимости.
В OSV уже внесли набор данных об уязвимостях фаззинга, обнаруженных службой OSS-Fuzz.
Как объяснили в Google, пользователям ПО с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую ??как Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей, таких как Common Platform Enumeration (CPE), не соответствуют фактическим схемам управления версиями с открытым исходным кодом.
Точно так же специалистам по сопровождению требуется время, чтобы определить точный список уязвимых версий. При этом многие проекты с открытым исходным кодом, в том числе критически важные для современной инфраструктуры, испытывают нехватку ресурсов и перегружены работой.
Задача OSV состоит в том, чтобы уменьшить объем работы, необходимой сопровождающим для публикации уязвимостей, и повысить точность запросов для потребителей путем публикации метаданных в базе, которую легко запрашивать.
OSV также поможет упростить процесс отчетности об уязвимостях для сопровождающего пакета с открытым исходным кодом, точно определяя список уязвимых версий и коммитов. Для этого необходимо будет предоставить коммиты, которые вводят и исправляют ошибки. Если эта информация недоступна, OSV потребует предоставить тестовый пример воспроизведения ошибки, чтобы найти эти коммиты в автоматическом режиме.
Пользователь будет отправлять запрос в OSV с версией пакета или хешем фиксации в качестве входных данных. OSV будет искать набор уязвимостей, влияющих на эту конкретную версию, и возвращать его списком.
OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В Google пообещали наладить работу с сообществами из различных языковых экосистем (например, NPM и PyPI) и упростить процесс, позволяющий разработчикам пакетов сообщать об уязвимостях.
Репозиторий проекта размещен на GitHub.