Google apresenta um banco de dados para rastrear e gerenciar vulnerabilidades de código aberto com facilidade

10 de fevereiro de 2021

O Google lançou uma plataforma - OSV (Vulnerabilidades de código aberto), que é um banco de dados de vulnerabilidades e infraestrutura de triagem destinada a projetos de código aberto.

Isso ajudará os contribuidores e usuários de software de código-fonte aberto, fornecendo dados precisos sobre vulnerabilidades para que possam ser trabalhados o mais rápido possível.

A versão inicial do OSV contém apenas vulnerabilidades encontradas por OSS-Fuzz (que incluem principalmente projetos C/C ++). Suporte para outros ecossistemas de linguagem está em andamento.

Como funciona?

OSV tem tudo a ver com automação, ele visa tornar o relatório de vulnerabilidade simples, mostrando uma lista precisa de versões afetadas e confirmações em um pacote de código aberto.

Tudo depende da informação disponível, OSV requer o envio dos commits que introduziram os bugs, bem como aqueles que os corrigiram.

Se essa informação não estiver disponível, o OSV requer um caso de teste de reprodução e etapas para gerar uma compilação de aplicativo, ele executará uma bissecção para verificar os commits de maneira automatizada e analisar o resto dos dados para entender os intervalos de confirmação foram afetados.

Não se preocupe com o jargão técnico se você for um consumidor, mas vai ajudá-lo a saber os detalhes exatos sobre uma vulnerabilidade e onde ela foi corrigida. Assim, você pode verificar facilmente o pacote que está usando e decidir atualizá-lo ou não.

Ele também automatiza o fluxo de trabalho de triagem de um pacote de código aberto, fornecendo uma API para pesquisar vulnerabilidades. Quando executado, o OSV mostra o conjunto de vulnerabilidades que estão afetando a versão especificada do pacote em um formato JSON legível por máquina. Isso definitivamente deve ajudar os mantenedores e desenvolvedores do projeto.

Equipado com essas informações, o usuário do pacote também pode escolher se deseja obter o patch de segurança ou atualizar para uma versão mais recente. Isso não é útil?

Você pode ler mais sobre isso em seu anúncio oficial.

Vulnerabilidades de código aberto

Conclusão

Atualmente, o OSV está sendo oferecido com acesso a milhares de vulnerabilidades de 300+ projetos OSS críticos integrados com OSS-Fuzz e está sendo executado no Google Cloud Platform (GCP).

O Google tem planos de estender o suporte a vários ecossistemas de linguagem com a ajuda da comunidade de código aberto, com OSV sendo de código aberto com um repositório GitHub sendo ativado e um Grupo do Google para discussões sobre o mesmo.

O que você acha do OSV, o que você acha disso? Deixe-me saber nos comentários abaixo.

Confira também a versão original desse post em inglês
Esse post foi originalmente escrito por Sourav Rudra e publicado no site itsfoss.com. Traduzido pela rtland.team

Google Introduces A Database To Easily Track & Manage Open-Source Vulnerabilities

Propaganda
Propaganda