Цель проекта OSV — в ускоренном информировании мейнтейнеров об уязвимостях, их статусе и истории их исправления. Также проект позволяет отследить влияние уязвимостей на производные продукты. Об этом cообщается в блоге Google. Управление уязвимостями может быть весь проблематичным, как для потребителей, так и для разработчиков программного обеспечения с открытым исходным кодом, поскольку во многих случаях требуется утомительная ручная работа. Для потребителей программного обеспечения с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую как запись Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей (таких как Common Platform Enumeration (CPE) ) не соответствуют фактическим схемам управления версиями с открытым исходным кодом, которые обычно представляют собой версии / теги и хэши фиксации. Результатом являются упущенные уязвимости, которые влияют на последующих потребителей. Новый сервис Google предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме. OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В будущем к БД планируется подключить информацию об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl. https://www.securitylab.ru/news/516287.php
Google запустил сервис OSV (Open Source Vulnerabilities) Компания Google ввела в строй новый сервис OSV (Open Source Vulnerabilities), предлагающий доступ к базе данных с информацией об уязвимостях в открытом ПО. Сервис предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме. Основной целью создания OSV является упрощение процесса информирования мэйнтейнеров пакетов об уязвимостях, благодаря точному определению версий и коммитов, которые затрагивает проблема. Присутствующие данные позволяют на уровне коммитов и тегов отследить проявление уязвимости и проанализировать подверженность проблеме производных продуктов и зависимостей. Например, API позволяет запросить информацию о наличии уязвимостей по номеру коммита или версии программы. В настоящее время в базе присутствуют около 25 тысяч проблем, выявленных в процессе автоматизированного fuzzing-тестирования в системе OSS-Fuzz, охватывающего код более 380 открытых проектов на языках C/C++. В будущем к БД планируется подключить дополнительные источники информации об уязвимостях. Например, ведётся работа по интеграции информации об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl. 06.02.2021 https://www.opennet.ru/opennews/art.shtml?num=54540