O Google anunciou na semana passada o lançamento do OSV (Open Source Vulnerabilities), apresentado como um banco de dados de vulnerabilidades e ao mesmo tempo infraestrutura de triagem para projetos de código aberto. O comunicado do Google diz que o OSV deve tornar mais fácil para os usuários de código aberto descobrir quais vulnerabilidades os afetam. Pode também ajudar os mantenedores de software a identificar todas as versões e commits afetados por uma falha.
Veja isso
Vulnerabilidades de software de código aberto sobem 130% em 2019
DevOps: Violações se dão através de componentes de código aberto
O Google diz que para os usuários em geral o OSV pode ser facilmente consultado, podendo complementar as consultas a outros bancos de dados de vulnerabilidades. “OSV automatiza o fluxo de trabalho de triagem para usuários de pacotes de código aberto; ele tem uma API para consultar vulnerabilidades”, diz o post no qual a equipe de segurança do Google prestou essa informação.
No caso dos mantenedores, eles podem obter informações sobre o impacto das vulnerabilidades, bastando para isso fornecer o commit que introduziu o bug e o commit que corrige o bug.
“Infelizmente, muitos projetos de código aberto, incluindo aqueles que são essenciais para a infraestrutura moderna, estão com poucos recursos e sobrecarregados. Os mantenedores nem sempre têm largura de banda para criar e publicar informações completas e precisas sobre suas vulnerabilidades, mesmo se quiserem”, disseram os especialistas em segurança do Google .
O OSV já armazena informações sobre milhares de vulnerabilidades em mais de 380 projetos e está integrado ao serviço de difusão OSS-Fuzz do Google. A empresa pretende também conectá-lo a dados de repositórios como npm Registry e PyPI. O OSV também facilitará o envio de informações sobre vulnerabilidades pelos desenvolvedores.
“Nosso objetivo com o OSV é repensar e promover um rastreamento de vulnerabilidade melhor e escalonável para código aberto. Em um mundo ideal, o gerenciamento de vulnerabilidade deve ser feito mais próximo do processo real de desenvolvimento de código aberto, auxiliado por infraestrutura automatizada. Projetos que dependem de código aberto devem ser notificados imediatamente e consertados rapidamente quando uma vulnerabilidade é relatada ”, disse o Google.
Com agências internacionais