此前,本站曾报道了 Google 提出应对开源软件漏洞的框架:”了解,预防,修复” 。在这之后,Google 根据该框架推出了开源漏洞相关项目 OSV(Open Source Vulnerabilities)。
OSV 是一个开源项目的漏洞数据库和分类基础设施,旨在帮助开源项目的开发人员和用户应对开源项目漏洞。 对于开发人员,OSV 的自动化功能有助于减轻分类负担,每个漏洞都会经过自动分析,以确定受影响的提交和版本范围。
对于用户来说,OSV 提供了一个 API,用户可以通过该 API 查询某个项目给定提交或版本的漏洞情况。例如,以下命令会返回 JSON 格式的漏洞信息。
curl -X POST -d \
'{"version": "1.0.0", "package": {"name": "pkg", "ecosystem": "pypi"}' \
'https://api.osv.dev/v1/query?key=$API_KEY'
目前, OSV 提供对 OSS-Fuzz 集成的 380 多个关键 OSS 项目的漏洞访问,并计划与开源社区合作,扩展各种语言生态系统(如 NPM、PyPI、Go)的数据,制定出项目维护者以最少的工作提交漏洞的渠道。 在理想情况下,漏洞管理会更接近实际的开源开发过程,并借助自动化基础架构进行。关于该项目更多信息,可以前往其官方博客查阅。