Google|谷歌扩展开源漏洞数据库 用“精确描述漏洞”统一模式纳入更多数据
Google今天宣布扩展开源漏洞(OSV)数据库,使用“精确描述漏洞”的统一模式纳入Python、Rust、Go 和 DWF 等更多开源项目的数据 。虽然开源软件存在诸多优势,但漏洞问题也日益突显 。
文章图片
文章图片
绝大多数代码库至少包含一个已知的开源漏洞,而本周的一份报告认为更多的时候,开发人员在将第三方库纳入他们的软件后并没有更新它们 。该报告还指出,92% 的开源库缺陷可以通过简单的更新轻松修复 。
文章图片
开源软件影响着几乎所有的人,无处不在 。从小型创业公司到大型企业,公司在他们的大部分应用中都依赖社区驱动的组件 。因此,确保开源软件得到适当的维护,符合每个人的利益 。
今年 2 月,Google推出了开源漏洞数据库(Open Source Vulnerabilities,简称 OSV) 。Google称这是为开发者和其他开源消费者“改善漏洞分流(vulnerability triage)的第一步” 。漏洞分流是对软件组件中的已知缺陷按其对使用该组件的应用程序构成的风险进行评估和排序的过程 。
文章图片
今天,Google正在扩展 OSV,包括来自主要开源项目的漏洞数据库,包括Python、Rust、Go和DWF 。从多个开源数据库汇总数据的主要挑战之一是,它们可能遵守不同的格式,通常由个别组织创建 。这种分布式的模式使得统一并以通用语言描述漏洞变得更加困难 。因此,Google与更广泛的开源社区一起,一直在研究一个 "漏洞交换模式",以人类和自动化工具都能使用的格式来描述各开源项目的漏洞 。
【Google|谷歌扩展开源漏洞数据库 用“精确描述漏洞”统一模式纳入更多数据】Google软件工程师 Oliver Chang 告诉 VentureBeat:“他们的反馈有助于迭代、改进和普及该格式 。"在该格式处于稳定状态后,他们对其现有的漏洞数据集进行了一些修改,以匹配OSV模式格式 。这允许在OSV服务中聚合他们的数据集,任何人都可以用它来查询其开源依赖的漏洞” 。
推荐阅读
- Google|谷歌暂缓2021年12月更新推送 调查Pixel 6遇到的掉线断连问题
- Tesla|马斯克也要效仿谷歌Facebook 为特斯拉设立控股母公司?
- 最初的|微软指责谷歌“耽误”了Surface Duo安卓11的最后升级期限
- Apple|韩国要求苹果和Google删除"玩游戏赚钱"的游戏类别
- 硬件|新型人工突触可用于高度扩展的类脑计算
- 数字电路|新型人工突触可用于高度扩展的类脑计算
- 最新消息|AMD谷歌微星相继退出展会,CES还在坚持办线下活动
- Google|Chrome被起诉侵犯隐私 加州允许原告当庭质问谷歌CEO
- 硬件|奥睿科推出TB3-S2雷电扩展坞与生物指纹识别移动硬盘新品
- Google|谷歌母公司Alphabet成2021年股价涨幅最大科技巨头 全年上涨68%