Google lança banco de dados para vulnerabilidades de código aberto

OSV foi apresentado como banco de dados de vulnerabilidades e ao mesmo tempo infraestrutura de triagem para projetos
Da Redação
08/02/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O Google anunciou na semana passada o lançamento do OSV (Open Source Vulnerabilities), apresentado como um banco de dados de vulnerabilidades e ao mesmo tempo infraestrutura de triagem para projetos de código aberto. O comunicado do Google diz que o OSV deve tornar mais fácil para os usuários de código aberto descobrir quais vulnerabilidades os afetam. Pode também ajudar os mantenedores de software a identificar todas as versões e commits afetados por uma falha.

Veja isso
Vulnerabilidades de software de código aberto sobem 130% em 2019
DevOps: Violações se dão através de componentes de código aberto

O Google diz que para os usuários em geral o OSV pode ser facilmente consultado, podendo complementar as consultas a outros bancos de dados de vulnerabilidades. “OSV automatiza o fluxo de trabalho de triagem para usuários de pacotes de código aberto; ele tem uma API para consultar vulnerabilidades”, diz o post no qual a equipe de segurança do Google prestou essa informação.

No caso dos mantenedores, eles podem obter informações sobre o impacto das vulnerabilidades, bastando para isso fornecer o commit que introduziu o bug e o commit que corrige o bug.

“Infelizmente, muitos projetos de código aberto, incluindo aqueles que são essenciais para a infraestrutura moderna, estão com poucos recursos e sobrecarregados. Os mantenedores nem sempre têm largura de banda para criar e publicar informações completas e precisas sobre suas vulnerabilidades, mesmo se quiserem”, disseram os especialistas em segurança do Google .

O OSV já armazena informações sobre milhares de vulnerabilidades em mais de 380 projetos e está integrado ao serviço de difusão OSS-Fuzz do Google. A empresa pretende também conectá-lo a dados de repositórios como npm Registry e PyPI. O OSV também facilitará o envio de informações sobre vulnerabilidades pelos desenvolvedores.

“Nosso objetivo com o OSV é repensar e promover um rastreamento de vulnerabilidade melhor e escalonável para código aberto. Em um mundo ideal, o gerenciamento de vulnerabilidade deve ser feito mais próximo do processo real de desenvolvimento de código aberto, auxiliado por infraestrutura automatizada. Projetos que dependem de código aberto devem ser notificados imediatamente e consertados rapidamente quando uma vulnerabilidade é relatada ”, disse o Google.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório