Google a annoncé aujourd’hui l’extension de la base de données Open Source Vulnerabilities (OSV) pour inclure des informations sur les bogues identifiés dans les projets open source Go, Rust, Python et DWF.

Lancée en février 2021 avec des détails sur des milliers de vulnérabilités du projet OSS-Fuzz de Google, la base de données OSV est destinée à fournir un triage automatisé et amélioré des vulnérabilités pour les développeurs et les utilisateurs de logiciels open source.

Le projet s’est avéré fructueux et, après l’avoir amélioré sur la base des commentaires reçus, Google a décidé d’étendre OSV aux principaux écosystèmes open source. Dans le cadre de cette étape, les bases de données de vulnérabilités pour Go, Rust, Python et DWF sont désormais agrégées dans OSV, pour aider les développeurs à mieux suivre et corriger les bogues de leurs logiciels.

« Notre effort s’aligne également sur le récent décret américain sur l’amélioration de la cybersécurité de la nation, qui a souligné la nécessité de supprimer les obstacles au partage des informations sur les menaces afin de renforcer l’infrastructure nationale », a déclaré Google.

L’agrégation de ces bases de données s’accompagne également d’un schéma unifié de description des vulnérabilités, qui vise à répondre aux enjeux clés liés à la gestion des vulnérabilités en open source.

Par exemple, aucun format standard n’a été trouvé qui forcerait la spécification de version pour correspondre précisément aux schémas de nommage et de gestion de version utilisés dans les écosystèmes open source, qui pourrait être utilisé pour décrire les vulnérabilités dans n’importe quel écosystème, et qui serait facile à utiliser par les humains et les systèmes automatisés .

Le nouveau schéma, selon Google, devrait fournir un format unifié pour toutes les bases de données de vulnérabilités, offrir une vue plus complète des failles dans les logiciels open source, améliorer la détection et la correction, et faciliter le partage des outils pour les bases de données, les utilisateurs et les chercheurs en sécurité.

Le format a déjà été adopté par des bases de données de vulnérabilité telles que Go, Rust et Python pour les packages Go, Cargo et PyPI, respectivement, comme…

Voir la source de cette publication