Google apresenta um banco de dados para rastrear e gerenciar vulnerabilidades de código aberto com facilidade

O Google lançou um projeto de código aberto que visa ajudar desenvolvedores e consumidores a saber mais sobre vulnerabilidades de código aberto.

Última atualização em 10 de february de 2021

Google apresenta um banco de dados para rastrear e gerenciar vulnerabilidades de código aberto com facilidade

O Google lançou uma plataforma - OSV (Vulnerabilidades de código aberto), que é um banco de dados de vulnerabilidades e infraestrutura de triagem destinada a projetos de código aberto.

Isso ajudará os contribuidores e usuários de software de código-fonte aberto, fornecendo dados precisos sobre vulnerabilidades para que possam ser trabalhados o mais rápido possível.

A versão inicial do OSV contém apenas vulnerabilidades encontradas por OSS-Fuzz (que incluem principalmente projetos C/C ++). Suporte para outros ecossistemas de linguagem está em andamento.

Como funciona?

OSV tem tudo a ver com automação, ele visa tornar o relatório de vulnerabilidade simples, mostrando uma lista precisa de versões afetadas e confirmações em um pacote de código aberto.

Tudo depende da informação disponível, OSV requer o envio dos commits que introduziram os bugs, bem como aqueles que os corrigiram.

Se essa informação não estiver disponível, o OSV requer um caso de teste de reprodução e etapas para gerar uma compilação de aplicativo, ele executará uma bissecção para verificar os commits de maneira automatizada e analisar o resto dos dados para entender os intervalos de confirmação foram afetados.

Não se preocupe com o jargão técnico se você for um consumidor, mas vai ajudá-lo a saber os detalhes exatos sobre uma vulnerabilidade e onde ela foi corrigida. Assim, você pode verificar facilmente o pacote que está usando e decidir atualizá-lo ou não.

Ele também automatiza o fluxo de trabalho de triagem de um pacote de código aberto, fornecendo uma API para pesquisar vulnerabilidades. Quando executado, o OSV mostra o conjunto de vulnerabilidades que estão afetando a versão especificada do pacote em um formato JSON legível por máquina. Isso definitivamente deve ajudar os mantenedores e desenvolvedores do projeto.

Equipado com essas informações, o usuário do pacote também pode escolher se deseja obter o patch de segurança ou atualizar para uma versão mais recente. Isso não é útil?

Você pode ler mais sobre isso em seu anúncio oficial.

Vulnerabilidades de código aberto

Conclusão

Atualmente, o OSV está sendo oferecido com acesso a milhares de vulnerabilidades de 300+ projetos OSS críticos integrados com OSS-Fuzz e está sendo executado no Google Cloud Platform (GCP).

O Google tem planos de estender o suporte a vários ecossistemas de linguagem com a ajuda da comunidade de código aberto, com OSV sendo de código aberto com um repositório GitHub sendo ativado e um Grupo do Google para discussões sobre o mesmo.

O que você acha do OSV, o que você acha disso? Deixe-me saber nos comentários abaixo.

Via itsfoss.com. Você pode conferir o post original em inglês:

Google Introduces A Database To Easily Track & Manage Open-Source Vulnerabilities

Última atualização deste artigo: 10 de february de 2021

Artigos populares
 Você quer ser altamente produtivo? Fique familiarizado e memorize esses atalhos de teclado do Visual Studio Code para Linux, Windows e macOS. Se você está preso ao terminal no Linux, digamos em um servidor, como você baixa um arquivo? Aqui estão alguns comandos para baixar arquivos e até páginas da web. Aqui está um tutorial rápido que mostra os passos para alterar os locales no Ubuntu e outras distribuições Linux pela linha de comando. O que você está ansioso para 2023? Experimente estas distribuições! Um tutorial para iniciante com passo a passo explicando como dar acesso de sudo a um usuário normal. Você verá métodos para o Ubuntu Desktop e o servidor. Quer remover o Google Chrome do seu Ubuntu Linux? Veja como remover completamente o Google Chrome e seus arquivos de configurações do Ubuntu. Aprenda a atualizar o Grub no Ubuntu e outras distribuições Linux com este tutorial rápido e simples. Tudo é possível no mundo Linux, incluindo distribuições que se parecem com MacOS. Aqui estão 6 maneiras de reiniciar a rede no Ubuntu. Curioso sobre o ambiente de trabalho para escolher? Nós ajudamos você com KDE vs GNOME aqui.
Artigos recentes
 Canela 6.0 com Wayland sessão soa interessante! O instalador baseado no menu archinstall recebeu vários novos recursos e melhorias. Esta versão também adiciona facilidade para quadros-chave, bem como várias novas opções em toda a interface e corrige muitos bugs. Esta versão também adiciona suporte para o pacote sudo-rs como uma reimplementação do pacote sudo escrito em Rust. O pacote Linux AppImage agora é baseado na estrutura de aplicativos Qt 5.15.11 e nas estruturas KDE 5.110.
Atom 1.0 RSS