Google vise à sécuriser davantage les logiciels open source en créant un schéma unifié pour décrire plus précisément les vulnérabilités de sécurité.
En février, le géant de la recherche a publié la base de données Open Source Vulnerabilities (OSV) dans le but à la fois d’automatiser et d’améliorer le tri des vulnérabilités pour les développeurs et ceux qui s’appuient sur des logiciels open source.
L’effort initial de Google pour créer cette nouvelle base de données a été aidé en partie grâce à l’inclusion d’un ensemble de données contenant plusieurs milliers de vulnérabilités du projet OSS-Fuzz. Depuis lors, la société a tiré parti des commentaires des utilisateurs pour aider à améliorer le projet et rendre la base de données accessible à encore plus d’utilisateurs.
Maintenant, Google a annoncé dans un nouvel article de blog qu’il étendrait OSV avec l’ajout de plusieurs écosystèmes open source clés, notamment Go, Rust, Python et DWF. Cette nouvelle extension réunira et regroupera les informations sur les vulnérabilités de sécurité à partir de quatre bases de données de vulnérabilités afin de fournir aux développeurs un meilleur moyen de suivre et de résoudre les problèmes de sécurité.
Sommaire
Base de données de vulnérabilités Open Source
Comme différents écosystèmes et organisations ont créé des bases de données distinctes qui utilisent leur propre format pour décrire les vulnérabilités open source, le suivi des bogues de sécurité et des failles dans plusieurs bases de données peut être difficile et fastidieux.
Pour cette raison, l’équipe Google Open Source Security, l’équipe Go et la communauté open source au sens large ont travaillé au développement d’un schéma d’échange de vulnérabilités simple conçu pour décrire les vulnérabilités.
Dans le cadre de ce travail, le nouveau schéma de vulnérabilité vise à résoudre certains problèmes clés liés à la gestion des vulnérabilités dans les projets open source, tels que l’application de spécifications de version qui correspondent précisément aux schémas de nommage et de gestion des versions dans les écosystèmes de packages open source réels. Le schéma doit également pouvoir être utilisé pour décrire les vulnérabilités dans n’importe quel écosystème open source tout en étant facile à utiliser à la fois par les systèmes automatisés et les personnes.
La spécification du schéma de vulnérabilité a maintenant subi plusieurs itérations et il faudra probablement un certain temps avant que les équipes de Google puissent la finaliser.
Cependant, les développeurs et les défenseurs des logiciels open source peuvent désormais accéder à la base de données de vulnérabilités Go, à la base de données de conseil Rust, à la base de données de conseil Python, à la base de données DWF pour les vulnérabilités du noyau Linux et à d’autres logiciels populaires, ainsi qu’à la base de données OSS-Fuzz pour les vulnérabilités en C/C++. .
