《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 谷歌扩展开源漏洞数据库 用“精确描述漏洞”统一模式纳入更多数据

谷歌扩展开源漏洞数据库 用“精确描述漏洞”统一模式纳入更多数据

2021-06-28
来源:网络安全应急技术国家工程实验室
关键词: Google 开源漏洞

Google今天宣布扩展开源漏洞(OSV)数据库,使用“精确描述漏洞”的统一模式纳入Python、Rust、Go 和 DWF 等更多开源项目的数据。虽然开源软件存在诸多优势,但漏洞问题也日益突显。


绝大多数代码库至少包含一个已知的开源漏洞,而本周的一份报告认为更多的时候,开发人员在将第三方库纳入他们的软件后并没有更新它们。该报告还指出,92% 的开源库缺陷可以通过简单的更新轻松修复。


  开源软件影响着几乎所有的人,无处不在。从小型创业公司到大型企业,公司在他们的大部分应用中都依赖社区驱动的组件。因此,确保开源软件得到适当的维护,符合每个人的利益。

  今年 2 月,Google推出了开源漏洞数据库(Open Source Vulnerabilities,简称 OSV)。Google称这是为开发者和其他开源消费者“改善漏洞分流(vulnerability triage)的第一步”。漏洞分流是对软件组件中的已知缺陷按其对使用该组件的应用程序构成的风险进行评估和排序的过程。


  今天,Google正在扩展 OSV,包括来自主要开源项目的漏洞数据库,包括Python、Rust、Go和DWF。从多个开源数据库汇总数据的主要挑战之一是,它们可能遵守不同的格式,通常由个别组织创建。这种分布式的模式使得统一并以通用语言描述漏洞变得更加困难。因此,Google与更广泛的开源社区一起,一直在研究一个 “漏洞交换模式”,以人类和自动化工具都能使用的格式来描述各开源项目的漏洞。

  Google软件工程师 Oliver Chang 告诉 VentureBeat:“他们的反馈有助于迭代、改进和普及该格式。”在该格式处于稳定状态后,他们对其现有的漏洞数据集进行了一些修改,以匹配OSV模式格式。这允许在OSV服务中聚合他们的数据集,任何人都可以用它来查询其开源依赖的漏洞“。




本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。