Uncategorized

Google расширяет базу данных уязвимостей с открытым исходным кодом до Python, Rust, Go и DWF

Где ваше предприятие находится на кривой внедрения ИИ? Примите участие в нашем опросе AI, чтобы узнать.


Сегодня Google объявила, что расширила свою базу данных уязвимостей с открытым исходным кодом (OSV), включив в нее данные из дополнительных проектов с открытым исходным кодом, используя унифицированную схему «для точного описания уязвимостей».

Преимущества программного обеспечения с открытым исходным кодом широко известны, но уязвимости – это одна из проблем, которая часто поднимает голову. Подавляющее большинство кодовых баз содержат по крайней мере одну известную уязвимость с открытым исходным кодом, а в отчете на этой неделе сделан вывод, что чаще всего разработчики не обновляют сторонние библиотеки после включения их в свое программное обеспечение. В том же отчете также отмечалось, что 92% недостатков библиотек с открытым исходным кодом можно легко исправить с помощью простого обновления.

Программное обеспечение с открытым исходным кодом влияет практически на всех и повсюду – от небольших стартапов до крупных предприятий в большинстве своих приложений используются компоненты, управляемые сообществом. Таким образом, обеспечение надлежащего обслуживания программного обеспечения с открытым исходным кодом отвечает интересам каждого.

Сортировка уязвимостей

Еще в феврале Google запустил базу данных об уязвимостях с открытым исходным кодом, которая, по ее словам, стала «первым шагом на пути к улучшению определения уязвимостей» для разработчиков и других потребителей открытого исходного кода. Сортировка уязвимостей – это процесс оценки и ранжирования известных недостатков в компонентах программного обеспечения в порядке риска, который они представляют для приложения, которое их использует.

OSV предоставляет данные о том, где впервые возникла уязвимость и где она была исправлена, чтобы разработчики могли лучше понять, как на них повлиять. При запуске OSV включала данные о «фаззинге» (методика поиска ошибок программирования) уязвимостей, взятых из службы OSS-Fuzz под руководством Google, которая интегрируется с сотнями проектов с открытым исходным кодом.

Сегодня Google расширяет OSV, чтобы включить базы данных уязвимостей из крупных проектов с открытым исходным кодом, включая Python, Rust, Go и DWF.

Одна из основных проблем агрегирования данных из нескольких баз данных с открытым исходным кодом заключается в том, что они часто придерживаются разных форматов, часто создаваемых индивидуально отдельной организацией. Эта распределенная модель затрудняет унификацию и описание уязвимостей на обычном языке. Таким образом, Google вместе с более широким сообществом разработчиков открытого исходного кода работает над «схемой обмена уязвимостями» для описания уязвимостей в проектах с открытым исходным кодом в формате, который может использоваться как людьми, так и средствами автоматизации.

Учитывая, что сотрудничество является основным принципом программного обеспечения с открытым исходным кодом, для расширения OSV с включением других экосистем с открытым исходным кодом требуется активное участие всех участвующих специалистов по сопровождению.

«Их отзывы помогли повторить, улучшить и обобщить формат», – сказал VentureBeat инженер-программист Google Оливер Чанг. «После того, как формат был в стабильном состоянии, они внесли некоторые изменения в свои существующие наборы данных об уязвимостях, чтобы они соответствовали формату схемы OSV. Это позволило агрегировать их наборы данных в службе OSV, которую любой мог использовать для поиска уязвимостей в своих зависимостях с открытым исходным кодом ».

Удвоение

В последнее время Google, похоже, удвоил свои инвестиции в безопасность с открытым исходным кодом. На прошлой неделе он предложил новую «сквозную структуру для целостности цепочки поставок» под названием «Уровни цепочки поставок для программных артефактов» (SLSA), которая определяет уровни сертификации безопасности для различных программных пакетов. Интернет-гигант также был одним из основателей нового проекта Linux Foundation под названием Sigstore, цель которого – помочь разработчикам программного обеспечения подтвердить происхождение и подлинность программного обеспечения. А еще в феврале Google объявил, что будет гарантировать выплату зарплаты двум разработчикам ядра Linux, чтобы помочь улучшить безопасность.

Поскольку Google все еще ожидает дальнейших отзывов от сообщества разработчиков ПО с открытым исходным кодом, новая спецификация схемы уязвимости еще не доработана. Однако OSS-Fuzz, Python, Rust, Go и DWF теперь экспортируют этот формат, а OSV объединила все эти базы данных уязвимостей в общедоступный портал, который также можно запросить с помощью одной команды через существующие API.

VentureBeat

Миссия VentureBeat – стать цифровой городской площадью, где лица, принимающие технические решения, могут получить знания о преобразующих технологиях и транзакциях.

На нашем сайте представлена ​​важная информация о технологиях и стратегиях обработки данных, которая поможет вам руководить своей организацией. Мы приглашаем вас стать членом нашего сообщества, чтобы получить доступ:

  • актуальная информация по интересующим вас темам
  • наши информационные бюллетени
  • закрытый контент для лидеров мнений и льготный доступ к нашим ценным мероприятиям, таким как Преобразование 2021: Учить больше
  • сетевые функции и многое другое

Стать членом

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button