Google ha annunciato il lancio di OSV (Open Source Vulnerabilities), un database di vulnerabilità e un’infrastruttura di triage per progetti open source. L’obiettivo è fornire dati precisi su dove è stata introdotta una vulnerabilità e dove è stata risolta, aiutando così i consumers di software open source a identificare accuratamente se sono interessati e quindi a correggere la sicurezza il più rapidamente possibile.
“OSV mira a semplificare il processo di segnalazione delle vulnerabilità per un manutentore di pacchetti open source determinando accuratamente l’elenco delle versioni e dei commit interessati. Ciò richiede la fornitura di entrambi i commit che introducono e risolvono i bug. Se tali informazioni non sono disponibili, OSV richiede di fornire un test case di riproduzione e passaggi per generare una build dell’applicazione, quindi esegue la bisezione per trovare questi commit in modo automatico. OSV si occupa del resto dell’analisi per capire gli intervalli di commit interessati (tenendo conto delle scelte selezionate) e le versioni / i tag”.
Come funziona OSV
OSV automatizza il flusso di lavoro di triage per un consumatore di pacchetti open source fornendo un’API per interrogare le vulnerabilità.
- Un consumatore del pacchetto invia una query a OSV con una versione del pacchetto o il commit hash come input.
- OSV cerca la serie di vulnerabilità che interessano quella particolare versione e restituisce un elenco di vulnerabilità che incidono sul pacchetto. I metadati della vulnerabilità vengono restituiti in un formato JSON leggibile dalla macchina.
- Il consumatore del pacchetto utilizza queste informazioni per scegliere rapidamente le correzioni di sicurezza (in base a metadati precisi delle correzioni) o per aggiornarle a una versione successiva.
Come funziona l’API?
L’API accetta un git commit hash o un numero di versione e restituisce l’elenco delle vulnerabilità presenti per quella versione.
C’è un limite di velocità?
Esiste un limite di velocità di 100 richieste / min.
Da dove provengono i dati?
Questo è attualmente pieno di vulnerabilità trovate da OSS-Fuzz (principalmente progetti C / C ++). OSS-Fuzz è un servizio di fuzzing continuo per software open source, con oltre 350 progetti open source integrati e ha trovato oltre 25.000 bug. Questo verrà esteso in futuro per supportare altre fonti di vulnerabilità.
“Stiamo progettando di lavorare con comunità open source per estendere i dati da vari ecosistemi linguistici (ad esempio NPM, PyPI) e elaborare una pipeline per i manutentori di pacchetti per presentare le vulnerabilità con un lavoro minimo. Il nostro obiettivo con OSV è ripensare e promuovere un monitoraggio delle vulnerabilità migliore e scalabile per l’open source. In un mondo ideale, la gestione delle vulnerabilità dovrebbe essere eseguita più vicino all’effettivo processo di sviluppo open source, aiutato da un’infrastruttura automatizzata. I progetti che dipendono dall’open source devono essere tempestivamente informati e le soluzioni devono essere risolte rapidamente quando viene segnalata una vulnerabilità”, conclude Google.
https://security.googleblog.com/2021/02/launching-osv-better-vulnerability.html