Google发布开源软件漏洞数据库

Google本周发布开源漏洞（open source vulnerability，OSV）数据库，协助开源软件用户及开发人员更快了解漏洞，以及更快找到修补程序。

OSV是Google改善漏洞分类（triage）的第一步，目的在提供漏洞出在哪、怎么修补的精确资料，以利用户受到漏洞影响时可精确判断，并尽快将之修补好。

OSV一开始是由Google的开源模糊测试项目OSS-Fuzz发现到的一组漏洞资料集，最近Google推动改善OSS漏洞管理（Know, Prevent, Fix框架），于是将OSS- Fuzz资料集扩大成OSV项目。

Google安全团队成员Oliver Chang及Kim Lewandowski指出，开源软件（OSS）的漏洞管理不论对用户或维护人员来说都很麻烦，需要繁琐的手动作业。对用户来说，碍于现有漏洞标准（Common Platform Enumeration）的版本控制做法，和现实世界的开源版本控制法不一致，漏洞名称（CVE）往往很难比对到用户使用的组件版本，造成漏洞被遗漏掉而影响下游用户。

另一方面，对OSS维护人员来说，漏洞修补后，要从所有branch中精确决定受影响的版本或commit也相当花时间，而且还要发布。很不幸的是，许多OSS项目，包括一些攸关现代基础架构的OSS项目，其维护人员都面临资源不足及工作过量，根本没时间及心力创建及发布精确、完整的漏洞信息。

因此OSV希望做到两件事，一是减轻OSS项目维护人员发布漏洞的工作，二是让下游用户更精确查询到漏洞信息，方法是创建一个容易查询的数据库，以提供用户精准的漏洞metadata，和现有漏洞数据库互补。

OSV借由提供用户查询漏洞的API，以自动化执行漏洞分类（triage）的流程。大致场景如下：首先，用户输入组件版本或commit hash进行查询，接着OSV就会去寻找影响到某OSS版本的漏洞，再以机器可读的JSON格式回传影响该组件的一组漏洞。拿到这清单后，用户就能根据修补程序的metadata来选择修补程序，或更新到之后的软件版本中。

Google指出，OSV希望改善OSS漏洞关注系统，使OSS项目可以更快通报并修补漏洞。OSV目前已提供380多个重要OSS项目的数千项漏洞。他们还计划和开源社群合作，以集成多个不同开发语言（如NPM、PyPI）的资料，也想开发简化组件维护员上传漏洞的渠道。

OSV项目网站已经上线，相关文件及资源也在GitHub公布。

来源：十轮网科技