Hlavní navigace

Google spustil projekt Open Source Vulnerabilities

Sdílet

David Ježek 9. 2. 2021
Security Bug

Společnost Google spustila nový projekt na sledování zranitelností a třídění infrastruktury open-source projektů s názvem Open Source Vulnerabilities (OSV). Databáze OSV má za cíl pomáhat jak tvůrcům open-source projektů, tak jejich uživatelům. Předpokládá se vznikl rozsáhlého a rostoucího archívu zranitelností v open-source projektech, který budou vývojáři i uživatelé moci procházet a využívat různých automatizačních nástrojů v něm.

Cílem je, aby OSV nabízelo přehled toho, kdy se která zranitelnost objevila, kdy byla opravena atd. Uživatel tak bude schopen zjistit, jestli jí byl / mohl být postižen a jak dlouho problém trval, případně se díky tomu dopracovat co nejrychleji k aplikaci záplaty / opravné verze.

Ve chvíli spuštění obsahuje databáze OSV pouze zranitelnosti z vlastní služby OSS-Fuzz (převážně C/C++), Google má v plánu již brzy přidat více datových zdrojů (např. Registry a PyPI). Prozatím tedy OSV obsahuje informace o „pouze“ tisících zranitelností u více než 380 kritických open-source projektů, které již byly v OSS-Fuzz.

OSV díky novému API pro kontrolu toho, zdali vaše verze je danou zranitelností postižena, či nikoli, dává šanci na určité sjednocení světa v přístupu k těmto informacím. Pro každou zranitelnost je prováděn rozbor, který konkrétní commit chybu zanesl a také který konkrétní commit ji zase opravil.

Podrobnosti jsou k dispozici na domovském webu OSV.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.