Google 宣布推出新的开源漏洞结构,解决管理开源漏洞的一些关键问题。
今年 2 月,Google 曾推出开源漏洞 (OSV) 数据库旨在帮助开源项目的开发人员和用户应对开源项目的漏洞,改进漏洞分类。Google 已经把 OSV 扩展到几个关键的开源生态系统:Go、Rust、Python 和 DWF,并将这四个重要的漏洞数据库结合起来,为软件开发人员跟踪和修复影响其安全的问题提供了更好的途径。
同时,Google 表示,由于每个生态系统和组织都使用自己的格式来描述漏洞,跨多个数据库跟踪漏洞的客户端必须完全独立地处理每个漏洞,并且很难在数据库之间共享漏洞。为此,推出了新的开源漏洞结构,具有以下特点:
- 强制执行与实际开源包生态系统中使用的命名和版本控制方案精确匹配的版本规范。例如, CVE 等漏洞与包管理器中的包名称和版本集进行匹配很难使用现有机制(例如 CPE)自动化。
- 它可以在不依赖生态系统逻辑的情况下描述开源生态系统中的任何漏洞。
- 易于自动化系统和人类使用。
Google 表示,它希望通过所有漏洞数据库都可以导出的格式。统一格式意味着漏洞数据库、开源用户和安全研究人员可以轻松共享工具,并在所有开源中使用漏洞。这意味着每个人都可以更全面地了解开源中的漏洞,以及更容易自动化带来的更快的检测和修复时间。
目前,该结构已经迭代了很多次,许多公共漏洞数据库已经导出了这种格式。未来,更多的数据库将括但不限于 Go 漏洞数据库, Rust 咨询数据库、 Python 咨询数据库。
本文转自OSCHINA
本文标题:Google 推出新的开源漏洞结构
本文地址:https://www.oschina.net/news/147607/google-announce-new-osv-scheme