Google внедряет единую схему уязвимостей для ПО с открытым кодом
Google представляет схему обмена сведениями об уязвимостями для экосистем с открытым исходным кодом. Ее спецификация уже прошла несколько итераций, но еще не завершена. По словам Абнишека Арьи (Abnishek Arya), группового менеджера Google Open Source Security, компания хочет "создать простой формат схемы, который содержит точные метаданные об уязвимостях, необходимые детали, необходимые для исправления ошибок, и не перегружает ограниченные ресурсы экосистемы с открытым исходным кодом".
Эти разработки согласуются с недавним указом правительства США, в котором подчеркивается необходимость устранения барьеров для обмена информацией об угрозах с целью укрепления национальной инфраструктуры.
В них Google опирается на уже имеющиеся наработки для базы Open Source Vulnerabilities (OSV) и набора данных OSS-Fuzz. Она расширила их на нескольких новых ключевых экосистем с открытым исходным кодом, объединив соответствующие базы данных уязвимостей:
- База данных уязвимостей Go для пакетов Go
- Консультационная база данных Rust для пакетов Cargo
- Консультационная база данных Python для пакетов PyPI
- База данных DWF для уязвимостей в ядре Linux и другом популярном ПО
- База данных для уязвимостей в ПО C/C++, обнаруженных OSS-Fuzz
Все эти базы доступны для просмотра в веб-интерфейсе OSV и могут опрашиваться через ее имеющиеся API.
Простая в использовании как автоматизированными системами, так и людьми, новая схема внедряет спецификацию, которая точно соотносит схемы обозначения и управления версиями, используемые в реальных экосистемах пакетов Open Source. Она позволяет описывать любые уязвимости, не нуждаясь в специфической для каждой экосистемы логике для их обработки.
Google также создала дополнительные средства для автоматизации обслуживания базы данных уязвимостей и планирует распространить этот инструментарий на другие экосистемы, в которых нет своих БД уязвимостей или недостаточно поддержки для их текущего обслуживания.
