[Информационная безопасность, Open source, Google API, Софт] Google запустила программу поиска уязвимостей в открытых проектах
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Google объявила о запуске программы OSV (Open Source Vulnerabilities) для поиска уязвимостей в программном обеспечении с открытым исходным кодом. В рамках OSV будут собираться точные данные о том, где была обнаружена уязвимость и как она была исправлена. Это поможет пользователям точно определить, подвержены ли они данной уязвимости. 
В OSV уже внесли набор данных об уязвимостях фаззинга, обнаруженных службой OSS-Fuzz. Как объяснили в Google, пользователям ПО с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую как Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей, таких как Common Platform Enumeration (CPE), не соответствуют фактическим схемам управления версиями с открытым исходным кодом. Точно так же специалистам по сопровождению требуется время, чтобы определить точный список уязвимых версий. При этом многие проекты с открытым исходным кодом, в том числе критически важные для современной инфраструктуры, испытывают нехватку ресурсов и перегружены работой. Задача OSV состоит в том, чтобы уменьшить объем работы, необходимой сопровождающим для публикации уязвимостей, и повысить точность запросов для потребителей путем публикации метаданных в базе, которую легко запрашивать. OSV также поможет упростить процесс отчетности об уязвимостях для сопровождающего пакета с открытым исходным кодом, точно определяя список уязвимых версий и коммитов. Для этого необходимо будет предоставить коммиты, которые вводят и исправляют ошибки. Если эта информация недоступна, OSV потребует предоставить тестовый пример воспроизведения ошибки, чтобы найти эти коммиты в автоматическом режиме. 
Пользователь будет отправлять запрос в OSV с версией пакета или хешем фиксации в качестве входных данных. OSV будет искать набор уязвимостей, влияющих на эту конкретную версию, и возвращать его списком. OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В Google пообещали наладить работу с сообществами из различных языковых экосистем (например, NPM и PyPI) и упростить процесс, позволяющий разработчикам пакетов сообщать об уязвимостях. Репозиторий проекта размещен на GitHub.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Google Chrome] Google удалила Great Suspender из каталога дополнений Chrome
- [Информационная безопасность, Google Chrome, Браузеры] В обновлении для Chrome 88 исправили уязвимость «нулевого дня»
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Искусственный интеллект, IT-компании] Исследователи утверждают, что увлечение ИИ частными компаниями приводит к «утечке мозгов» из университетов
- [Информационная безопасность, Тестирование мобильных приложений, Транспорт, Урбанизм, IT-компании] Как молодой девушке уехать на Яндекс.Такси в лес и пропасть без вести
- [Open source, Программирование, Совершенный код, C++] Исследование COVID-19 и неинициализированная переменная
- [Open source, Программирование, Совершенный код, C++] COVID-19 Research and Uninitialized Variable
- [Смартфоны, Здоровье] Google добавит в смартфоны Pixel функцию отслеживания пульса: палец нужно будет приложить к камере
- [Социальные сети и сообщества, Видеоконференцсвязь] Исследование зумбомбинга утверждает, что контрмеры эффекта не дают
- Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-day уязвимостях в 2020 году
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_open_source, #_google_api, #_soft (Софт), #_google, #_open_source, #_programmnoe_obespechenie (программное обеспечение), #_otkrytyj_kod (открытый код), #_ujazvimosti (уязвимости), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_open_source, #_google_api, #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 20-Май 04:03
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Google объявила о запуске программы OSV (Open Source Vulnerabilities) для поиска уязвимостей в программном обеспечении с открытым исходным кодом. В рамках OSV будут собираться точные данные о том, где была обнаружена уязвимость и как она была исправлена. Это поможет пользователям точно определить, подвержены ли они данной уязвимости.  В OSV уже внесли набор данных об уязвимостях фаззинга, обнаруженных службой OSS-Fuzz. Как объяснили в Google, пользователям ПО с открытым исходным кодом часто бывает трудно сопоставить уязвимость, такую как Common Vulnerabilities and Exposures (CVE), с версиями пакета, которые они используют. Это происходит из-за того, что схемы управления версиями в существующих стандартах уязвимостей, таких как Common Platform Enumeration (CPE), не соответствуют фактическим схемам управления версиями с открытым исходным кодом. Точно так же специалистам по сопровождению требуется время, чтобы определить точный список уязвимых версий. При этом многие проекты с открытым исходным кодом, в том числе критически важные для современной инфраструктуры, испытывают нехватку ресурсов и перегружены работой. Задача OSV состоит в том, чтобы уменьшить объем работы, необходимой сопровождающим для публикации уязвимостей, и повысить точность запросов для потребителей путем публикации метаданных в базе, которую легко запрашивать. OSV также поможет упростить процесс отчетности об уязвимостях для сопровождающего пакета с открытым исходным кодом, точно определяя список уязвимых версий и коммитов. Для этого необходимо будет предоставить коммиты, которые вводят и исправляют ошибки. Если эта информация недоступна, OSV потребует предоставить тестовый пример воспроизведения ошибки, чтобы найти эти коммиты в автоматическом режиме.  Пользователь будет отправлять запрос в OSV с версией пакета или хешем фиксации в качестве входных данных. OSV будет искать набор уязвимостей, влияющих на эту конкретную версию, и возвращать его списком. OSV в настоящее время обеспечивает доступ к тысячам уязвимостей из более чем 380 критических проектов OSS, интегрированных с OSS-Fuzz. В Google пообещали наладить работу с сообществами из различных языковых экосистем (например, NPM и PyPI) и упростить процесс, позволяющий разработчикам пакетов сообщать об уязвимостях. Репозиторий проекта размещен на GitHub. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_open_source, #_google_api, #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 20-Май 04:03
Часовой пояс: UTC + 5