导读 谷歌旨在通过创建统一架构来更准确地描述安全漏洞,从而使开源软件更加安全。早在二月份,这家搜索巨头就发布了开源漏洞 (OSV) 数据库,

谷歌旨在通过创建统一架构来更准确地描述安全漏洞,从而使开源软件更加安全。早在二月份,这家搜索巨头就发布了开源漏洞 (OSV) 数据库,目标是为开发人员和依赖开源软件的人自动化和改进漏洞分类。

谷歌最初创建这个新数据库的努力在一定程度上得益于包含来自OSS-Fuzz项目的数千个漏洞的数据集。从那时起,该公司利用用户反馈来帮助改进项目并使更多用户可以访问数据库。

现在,尽管谷歌在一篇新的博客文章中宣布,它将通过增加几个关键的开源生态系统来扩展 OSV,包括 Go、Rust、Python 和 DWF。这个新的扩展将联合和聚合来自四个漏洞数据库的安全漏洞信息,为开发人员提供更好的方法来跟踪和修复安全问题。

由于不同的生态系统和组织创建了单独的数据库,这些数据库使用自己的格式来描述开源漏洞,因此跨多个数据库跟踪安全漏洞和缺陷可能既困难又乏味。

出于这个原因,谷歌开源安全团队、Go 团队和更广泛的开源社区一直致力于开发一个简单的漏洞交换模式,旨在描述漏洞。

作为这项工作的一部分,新的漏洞架构旨在解决管理开源项目中漏洞的一些关键问题,例如强制执行与实际开源包生态系统中的命名和版本控制方案精确匹配的版本规范。该架构还需要能够用于描述任何开源生态系统中的漏洞,同时还要易于自动化系统和人员使用。

漏洞架构规范现在已经经历了多次迭代,谷歌团队可能需要一段时间才能最终确定。

然而,开发者和开源软件拥护者现在可以访问围棋漏洞数据库,防锈咨询数据库,Python的咨询数据库,DWF数据库在漏洞Linux内核和其它流行的软件,以及在OSS-Fuzz的数据库在C / C漏洞++ .