Google今天宣布扩展开源漏洞(OSV)数据库,使用“精确描述漏洞”的统一模式纳入Python、Rust、Go 和 DWF 等更多开源项目的数据。虽然开源软件存在诸多优势,但漏洞问题也日益突显。
绝大多数代码库至少包含一个已知的开源漏洞,而本周的一份报告认为更多的时候,开发人员在将第三方库纳入他们的软件后并没有更新它们。该报告还指出,92% 的开源库缺陷可以通过简单的更新轻松修复。
开源软件影响着几乎所有的人,无处不在。从小型创业公司到大型企业,公司在他们的大部分应用中都依赖社区驱动的组件。因此,确保开源软件得到适当的维护,符合每个人的利益。
今年 2 月,Google推出了开源漏洞数据库(Open Source Vulnerabilities,简称 OSV)。Google称这是为开发者和其他开源消费者“改善漏洞分流(vulnerability triage)的第一步”。漏洞分流是对软件组件中的已知缺陷按其对使用该组件的应用程序构成的风险进行评估和排序的过程。
今天,Google正在扩展 OSV,包括来自主要开源项目的漏洞数据库,包括Python、Rust、Go和DWF。从多个开源数据库汇总数据的主要挑战之一是,它们可能遵守不同的格式,通常由个别组织创建。这种分布式的模式使得统一并以通用语言描述漏洞变得更加困难。因此,Google与更广泛的开源社区一起,一直在研究一个 "漏洞交换模式",以人类和自动化工具都能使用的格式来描述各开源项目的漏洞。
Google软件工程师 Oliver Chang 告诉 VentureBeat:“他们的反馈有助于迭代、改进和普及该格式。"在该格式处于稳定状态后,他们对其现有的漏洞数据集进行了一些修改,以匹配OSV模式格式。这允许在OSV服务中聚合他们的数据集,任何人都可以用它来查询其开源依赖的漏洞”。
(举报)