[[407280]]

Google 宣布推出一個新的開源漏洞結(jié)構(gòu)，以解決管理開源漏洞的一些關(guān)鍵問題。

{ 
 
        "id": string, 
        "modified": string, 
        "published": string, 
        "withdrawn": string, 
        "aliases": [ string ], 
        "related": [ string ], 
        "package": { 
                "ecosystem": string, 
                "name": string, 
                "purl": string, 
        }, 
        "summary": string, 
        "details": string, 
        "affects": [ { 
                "ranges": [ { 
                        "type": string, 
                        "repo": string, 
                        "introduced": string, 
                        "fixed": string 
                } ], 
                "versions": [ string ] 
        } ], 
        "references": [ { 
                "type": string, 
                "url": string 
        } ], 
        "ecosystem_specific": { see spec }, 
        "database_specific": { see spec }, 
} 

今年 2 月，Google 曾推出開源漏洞 (OSV) 數(shù)據(jù)庫， 旨在幫助開源項目的開發(fā)人員和用戶應(yīng)對開源項目漏洞和改進漏洞分類。 現(xiàn)在，Google 已經(jīng)把 OSV 擴展到幾個關(guān)鍵的開源生態(tài)系統(tǒng)中：Go、Rust、Python 和 DWF，并將這四個重要的漏洞數(shù)據(jù)庫聯(lián)合并聚合，為軟件開發(fā)人員提供了一種更好的方式來跟蹤和修復(fù)影響他們的安全問題。

同時，Google 表示由于各個生態(tài)系統(tǒng)和組織都使用自己的格式來描述漏洞，因此跨多個數(shù)據(jù)庫跟蹤漏洞的客戶端必須完全獨立地處理每個漏洞，在數(shù)據(jù)庫之間共享漏洞也很困難。對此，其推出了這個新的開源漏洞結(jié)構(gòu)，該結(jié)構(gòu)有以下特點：

• 強制執(zhí)行與實際開源包生態(tài)系統(tǒng)中使用的命名和版本控制方案精確匹配的版本規(guī)范。例如，將 CVE 等漏洞與包管理器中的包名稱和版本集進行匹配很難使用現(xiàn)有機制(例如 CPE)以自動化方式進行。
• 可用于描述任何開源生態(tài)系統(tǒng)中的漏洞，而不需要依賴生態(tài)系統(tǒng)的邏輯來處理它們。
• 易用于自動化系統(tǒng)和人類使用。

Google 表示，其希望通過這個模式定義一種所有漏洞數(shù)據(jù)庫都可以導(dǎo)出的格式。統(tǒng)一格式意味著漏洞數(shù)據(jù)庫、開源用戶和安全研究人員可以輕松共享工具并在所有開源中使用漏洞。這意味著每個人都可以更全面地了解開源中的漏洞，以及更輕松的自動化帶來的更快檢測和修復(fù)時間。

目前，該結(jié)構(gòu)已經(jīng)經(jīng)歷了多次迭代，并且許多公共漏洞數(shù)據(jù)庫已經(jīng)在導(dǎo)出這種格式，將來還有更多的數(shù)據(jù)庫采用該結(jié)構(gòu)，包括但不限于 Go 漏洞數(shù)據(jù)庫、Rust 咨詢數(shù)據(jù)庫以及 Python 咨詢數(shù)據(jù)庫。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Google 推出新的開源漏洞結(jié)構(gòu)

本文地址：https://www.oschina.net/news/147607/google-announce-new-osv-scheme