Google створив сервіс для пошуку вразливостей у відкритих проєктах

1 хв. читання

Google опублікував сервіс Open Source Vulnerabilities (OSV), у якому зібрана база даних вразливостей у проєктах з відкритим кодом. OSV пропонує API, який автоматизує пошук та допомагає сортувати інформацію.

Сервіс показує, чи усунена проблема, коли вона виникла, які програми й версії вона зачіпає, як триває процес виправлення тощо. Тож можна відстежувати певні баги за версіями програм і номерами комітів.

Зараз у цій базі даних є близько 25 тисяч вразливостей, знайдених через інструмент OSS-Fuzz. Ці проблеми стосуються переважно мов C і C++, однак Google планує співпрацювати з іншими мовними екосистемами й спільнотами, наприклад, з NPM і PyPI. Код OSV можна переглянути на GitHub.

diagram

У Google кажуть, що проєкт створили тому, що користувачам відкритого ПЗ інколи тяжко зіставити вразливості з CVE зі своїми версіями пакетів. Проблема в тому, що схеми версій у стандартах вразливостей не відповідають актуальним схемам в open-source.

Нагадаємо, минулого тижня інженери Google розпочали дискусію про рівень безпеки у розробках з відкритим кодом. Автори пропонують ретельніше контролювати проєкти, які спільнота визнає критично важливими.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 6.8K
Приєднався: 6 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація