Google于今年2月发布了开源漏洞(Open Source Vulnerability,OSV)数据库,以提供开源项目的漏洞信息,包括漏洞的存在与修补之处,迄今已支持数百种开源项目,本周Google进一步扩展OSV,宣布纳入Python、Rust、Go与DWF等4个大型开源项目,同时推动统一的漏洞数据库机制。
Google说明,OSV的目的之一是协助用户不需要耗费大量的人力之下,可识别与回应安全漏洞,因此必须有一个准确且通用的资料格式,来分类与修复漏洞,特别是在相关漏洞可能对相依项目造成风险之际。
图片来源_Google
OSV初期奠基于专门寻找开源bug的OSS-Fuzz,所产生之数千个漏洞的资料集,使它与数百个开源项目的漏洞资料交流,并于本周宣布将扩大到Python、Rust、Go与DWF等大型项目,纳入这4个项目的漏洞数据库,同时也呼应了美国要求改善网络安全的行政命令,该于今年5月发布的行政命令,呼吁企业应该要确保产品中所使用开源的完整性与出处。
同时,Google也企图推动一个可精确描述漏洞的统一机制,以方便彼此之间的交流。因为在开源的发展中,漏洞数据库通常是跟着传播模式,且许多生态体系或组织都拥有自己的数据库,这使得它们都使用自己的格式来描述漏洞,因此,一个采用不同开源项目的客户,就必须个别关注这些项目的漏洞数据库,也让不同数据库之间的漏洞共享变得更困难。
于是Google携手开源社群与Go团队,打造了一个简单的漏洞互换机制,可用来描述开源生态体系的安全漏洞,企图解决开源社群的漏洞分享问题,以确保版本的规格,必须符合开源组件生态体系中,所使用的命名与版本控制机制,可用来描述任何开源生态体系中的安全漏洞,而不需依赖生态体系的逻辑来处理,以及同时适用于自动化与人工。
公用的格式代表不管是漏洞数据库、开源项目用户或是安全研究人员,都能够跨项目地分享与访问漏洞信息,Google希望定义出一个允许所有漏洞数据库,都能输出的格式。
目前Google及开源社群正在改善该格式,现已接近正式版,同时Google也已发布更多的自动化工具以用来维护漏洞数据库,并打算推广相关工具给尚未创建漏洞数据库的开源项目。