Google a annoncé la semaine dernière le lancement d’OSV (Open Source Vulnerabilities), que le géant de l’Internet a décrit comme une base de données de vulnérabilités et une infrastructure de triage pour les projets open source.

OSV devrait permettre aux utilisateurs de logiciels open source de découvrir plus facilement quelles vulnérabilités les affectent. Il peut également aider les mainteneurs de logiciels open source à identifier avec précision toutes les versions et commits impactés par une faille dans toutes leurs branches.

Pour les consommateurs, Google affirme qu’OSV fournit une base de données qui peut être facilement interrogée, son objectif étant de compléter les bases de données de vulnérabilités existantes.

« OSV automatise le flux de travail de triage pour un consommateur de packages open source en fournissant une API pour rechercher les vulnérabilités », a déclaré l’équipe de sécurité de Google dans un article de blog.

Dans le cas des mainteneurs, ils peuvent obtenir des informations sur l’impact des vulnérabilités en fournissant le commit qui a introduit un bogue et le commit qui l’a corrigé.

«Malheureusement, de nombreux projets open source, y compris ceux qui sont essentiels aux infrastructures modernes, manquent de ressources et sont surchargés de travail. Les responsables de la maintenance n’ont pas toujours la bande passante nécessaire pour créer et publier des informations complètes et précises sur leurs vulnérabilités, même s’ils le souhaitent », ont déclaré les experts en sécurité de Google.

OSV stocke actuellement des informations sur des milliers de vulnérabilités provenant de plus de 380 projets open source critiques intégrés au service de fuzzing OSS-Fuzz de Google. Cependant, l’entreprise souhaite l’étendre avec des données provenant de référentiels tels que npm Registry et PyPI. Il souhaite également permettre aux développeurs de soumettre très facilement des informations sur les vulnérabilités.

«Notre objectif avec OSV est de repenser et de promouvoir un meilleur suivi évolutif des vulnérabilités pour l’open source. Dans un monde idéal, la gestion des vulnérabilités devrait être effectuée plus près du processus de développement open source réel, aidée par une infrastructure automatisée. Des projets qui dépendent de …