Google OSV, vulnerabilità per software open source

OSV è un sistema automatico, sviluppato da Google, che permette di segnalare le vulnerabilità individuate nei software open source.
OSV è un sistema automatico, sviluppato da Google, che permette di segnalare le vulnerabilità individuate nei software open source.

Google ha annunciato un nuovo progetto indirizzato agli sviluppatori di software open source che permette di semplificare la classificazione delle vulnerabilità. Il database di OSV (Open Source Vulnerabilities) offrirà anche agli utenti la possibilità di identificare velocemente le versioni delle applicazioni che devono essere aggiornate al più presto.

OSV: classificazione più chiara dei bug

Le vulnerabilità sono attualmente identificate tramite numeri CVE (Common Vulnerabilities and Exposures), ma gli utenti non sono in grado di associarli alla corretta versione del software, quindi non installano gli aggiornamenti. Allo stesso modo, molti sviluppatori non hanno risorse per tenere aggiornata la lista delle vulnerabilità per ogni versione del software.

L’obiettivo di OSV è dunque ridurre il lavoro per gli sviluppatori e semplificare la ricerca dei bug per gli utenti. La prima versione di OSV prevede la raccolta automatica delle vulnerabilità di oltre 380 progetti open source che sfruttano OSS-Fuzz (il fuzzing è una delle tecniche più utilizzate per individuare gli errori di programmazione). Il software invia una richiesta (query) a OSV con la versione del package come input. OSV cerca eventuali vulnerabilità e restituisce il risultato in formato JSON. Il software usa quindi l’informazione per installare la versione successiva.

Google ritiene che i software open source devono essere aggiornati rapidamente in caso di vulnerabilità, come avviene per i software proprietari (che ovviamente dispongono di maggiori risorse economiche). Il database dei bug può essere consultato sul sito ufficiale. Ulteriori miglioramenti sono previsti nel corso dei prossimi mesi.

Fonte: Google
Link copiato negli appunti

Ti potrebbe interessare

08 02 2021
Link copiato negli appunti