O novo serviço do Google fornecerá dados sobre vulnerabilidades em software de código aberto

Soube-se que o Google lançou um novo serviço chamado Vulnerabilidades de código aberto. Com sua ajuda, os usuários poderão acessar um banco de dados de informações sobre vulnerabilidades em software livre.

Como parte deste serviço, os usuários receberão uma API que automatizará a geração de solicitações para obter dados sobre vulnerabilidades. Vulnerabilidades que entram no banco de dados do Google receberão identificadores separados que complementam o CVE com informações estendidas. Por exemplo, o banco de dados OSV registra o status de uma correção para um problema, a variedade de versões de software vulneráveis ​​e muito mais.

O objetivo do projeto é simplificar o processo de informar os mantenedores de pacotes sobre vulnerabilidades, identificando com mais precisão as versões e commits afetados pelo problema. Os dados recolhidos na base de dados OSV permitem ao nível dos commits e tags controlar a manifestação de vulnerabilidades e analisar a vulnerabilidade dos derivados ao problema. Entre outras coisas, os usuários poderão usar o serviço para solicitar dados sobre a presença de uma vulnerabilidade pelo número de confirmação ou versão do software.

Neste momento, a base de dados OSV consiste em cerca de 25 mil vulnerabilidades que foram identificadas em resultado de testes automáticos com o sistema OSS-Fuzz, que abrange mais de 380 projectos de código aberto em C e C ++. No futuro, os desenvolvedores pretendem expandir a base integrando novas fontes de informação sobre vulnerabilidades. O trabalho já está em andamento para adicionar informações sobre vulnerabilidades em projetos Go.