Новый сервис Google предоставит данные об уязвимостях в открытом ПО

[душман]

Стало известно о том, что компания Google запустила новый сервис под названием Open Source Vulnerabilities. С его помощью пользователи смогут получить доступ к базе данных с информацией об уязвимостях в программном обеспечении с открытым исходным кодом.

В рамках данного сервиса пользователям будет предоставляться API, позволяющий автоматизировать формирование запросов для получения данных об уязвимостях. Попадающие в базу Google уязвимости будут получать отдельные идентификаторы, дополняющие CVE расширенной информацией. Например, в базе OSV отмечается статус исправления какой-либо проблемы, диапазон подверженных уязвимости версий ПО и многое другое.

Цель проекта заключается в упрощении процесса информирования мейнтейнеров пакетов об уязвимостях за счёт более точного определения версий и коммитов, затрагиваемых проблемой. Собранные в базе OSV данные позволяют на уровне коммитов и тегов отслеживать проявление уязвимости и осуществлять анализ подверженности проблеме производных продуктов. Помимо прочего, пользователи смогут с помощью сервиса запрашивать данные о наличии уязвимости по номеру коммита или версии ПО.

На данный момент база OSV состоит примерно из 25 тыс. уязвимостей, которые были выявлены в результате автоматического тестирования с помощью системы OSS-Fuzz, охватывающего свыше 380 открытых проектов на языках C и C++. В дальнейшем разработчики намерены расширить базу путём интеграции новых источников информирования об уязвимостях. Уже ведётся работа по добавлению информации об уязвимостях в проектах на языке Go.