谷歌宣布了一个新的开源漏洞结构,以解决管理开源漏洞的一些关键问题。{"id":string,"modified":string,"published":string,"withdrawn":string,"aliases":[string],"related":[string],"package":{"ecosystem":string,"name":string,"purl":string,},"summary":string,"details":string,"affects":[{"ranges":[{"type":string,"repo":字符串,“引入”:字符串,“固定”:字符串}],“版本”:[字符串]}],“参考”:[{“类型”:字符串,“url”:字符串}],“生态系统特定”:{seespec},"database_specific":{seespec},}今年2月,谷歌推出了开源漏洞(OSV)数据库,旨在帮助开源项目的开发者和用户应对开源项目漏洞,改善漏洞分类。现在,谷歌已将OSV扩展到几个关键的开源生态系统:Go、Rust、Python和DWF,并将这四个重要的漏洞数据库组合和聚合,为软件开发人员提供更好的方式来跟踪和修复影响他们的安全问题。同时,谷歌表示,由于每个生态系统和组织都使用自己的格式来描述漏洞,跨多个数据库跟踪漏洞的客户端必须完全独立地处理每个漏洞,数据库之间共享漏洞也很困难。作为回应,它引入了这个新的开源漏洞结构,它:强制执行与实际开源包生态系统中使用的命名和版本控制方案完全匹配的版本规范。例如,很难使用CPE等现有机制以自动化方式将CVE等漏洞与包管理器中的包名称和版本集相匹配。可用于描述任何开源生态系统中的漏洞,而不依赖于生态系统的逻辑来处理它们。自动化系统和人类使用的易用性。谷歌表示,它希望使用这种模式来定义一种格式,可以导出所有漏洞数据库。统一的格式意味着漏洞数据库、开源用户和安全研究人员可以轻松地共享工具并跨所有开源使用漏洞。这意味着每个人都可以更全面地了解开源中的漏洞,并通过更简单的自动化更快地检测和修复漏洞。目前这种结构已经经历了多次迭代,很多公开的漏洞数据库已经在导出这种格式,未来还会有更多的数据库采用这种结构,包括但不限于GoVulnerabilityDatabase、RustAdvisoryDatabase、PythonAdvisoryDatabase.本文转自OSCHINA文章标题:谷歌推出新的开源漏洞结构本文地址:https://www.oschina.net/news/147607/google-announce-new-osv-scheme
