Google ontwikkelt standaard voor delen open-source kwetsbaarheden

Abonneer je gratis op Techzine!

Google heeft een overkoepelend standaardspecificatie ontwikkeld die het delen van kwetsbaarheden in open-source software en applicaties eenvoudiger moet maken. Vooral gaat het hierbij om het makkelijker maken van de gegevensuitwisseling tussen databases die dit soort kwetsbaarheden bijhouden.

Op dit moment bestaan er verschillende database-omgevingen die kwetsbaarheden in open-source software, applicaties en ecosystemen bijhouden. Het probleem is echter dat de verschillende ecosystemen en bedrijven hiervoor hun data over kwetsbaarheden aanmaken in de eigen database-omgevingen en in eigen formats. Deze worden dan moeilijk gedeeld met de andere databases. Wanneer ontwikkelaars of een software client een overzicht van deze kwetsbaarheden willen krijgen, moeten zij iedere kwetsbaarhedendatabase afzonderlijk bekijken.

Nieuwe standaardspecificatie

Google wil hieraan een einde maken en heeft nu, vooral voor open-source ecosystemen, een standaardspecificatie ontwikkeld die een gezamenlijk format voor het melden van kwetsbaarheden moet bieden. Hierdoor wordt het voor ontwikkelaars makkelijker via open-source deze kwetsbaarheden te delen en zo, ook als open-source, een compleet overzicht van alle gevonden kwetsbaarheden te bieden.

Toevoeging aan OSV-database

Het schema of standaard is een toevoeging op de Open Source Vulnerabilities (OSV) database. Het doel is het verder automatiseren en verbeteren van de triage van kwetsbaarheden in open-source oplossingen. Deze database bestaat uit informatie op basis van een aantal duizend gevonden kwetsbaarheden uit het OSS-Fuzz-project van Google, maar is nu ook uitgebreid naar de open-source ecosystemen van de programmeertalen Go, Rust, Python en DWF.