Google опублікував сервіс Open Source Vulnerabilities (OSV), у якому зібрана база даних вразливостей у проєктах з відкритим кодом. OSV пропонує API, який автоматизує пошук та допомагає сортувати інформацію.
Сервіс показує, чи усунена проблема, коли вона виникла, які програми й версії вона зачіпає, як триває процес виправлення тощо. Тож можна відстежувати певні баги за версіями програм і номерами комітів.
Зараз у цій базі даних є близько 25 тисяч вразливостей, знайдених через інструмент OSS-Fuzz. Ці проблеми стосуються переважно мов C і C++, однак Google планує співпрацювати з іншими мовними екосистемами й спільнотами, наприклад, з NPM і PyPI. Код OSV можна переглянути на GitHub.
У Google кажуть, що проєкт створили тому, що користувачам відкритого ПЗ інколи тяжко зіставити вразливості з CVE зі своїми версіями пакетів. Проблема в тому, що схеми версій у стандартах вразливостей не відповідають актуальним схемам в open-source.
Нагадаємо, минулого тижня інженери Google розпочали дискусію про рівень безпеки у розробках з відкритим кодом. Автори пропонують ретельніше контролювати проєкти, які спільнота визнає критично важливими.
Ще немає коментарів