Google propuso un marco para responder a las vulnerabilidades del software de código abierto. Después de eso, Google lanzó el proyecto Open Source Vulnerabilities (OSV).
OSV es una base de datos de vulnerabilidades y una infraestructura de clasificación para proyectos de código abierto cuyo objetivo es ayudar tanto a los mantenedores de código abierto como a los consumidores de código abierto.
Para los mantenedores de código abierto, la automatización de OSV ayuda a reducir la carga del triaje. Cada vulnerabilidad se somete a un análisis automático de bisección e impacto para determinar los rangos de versiones y compromisos afectados con precisión.
Para los consumidores de código abierto, OSV proporciona una API que permite a los usuarios de estos proyectos consultar si sus versiones se ven afectadas o no.
Para los usuarios, OSV proporciona una API a través de la cual los usuarios pueden consultar la vulnerabilidad de un envío o versión determinada de un proyecto. Por ejemplo, el siguiente comando devolverá información de vulnerabilidad en formato JSON.
curl -X POST -d \
'{"commit": "6879efc2c1596d11a6a6ad296f80063b558d5e0f"}' \
"https://api.osv.dev/v1/query?key=$API_KEY"
curl -X POST -d \
'{"version": "1.0.0", "package": {"name": "foo", "ecosystem": "bar"}}' \
"https://api.osv.dev/v1/query?key=$API_KEY"
Actualmente, OSV proporciona acceso a vulnerabilidades a más de 380 proyectos clave de OSS integrados por OSS-Fuzz, y planea cooperar con la comunidad de código abierto para expandir los datos de varios ecosistemas de idiomas (como NPM, PyPI, Go) y formular proyectos. mantenedores. En circunstancias ideales, la gestión de vulnerabilidades estará más cerca del proceso de desarrollo de código abierto real y se llevará a cabo con la ayuda de una infraestructura automatizada.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualización el 2021-02-09. Fecha publicación el 2021-02-09. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: livemint