O Google lançou a plataforma OSV (Open-Source Vulnerabilities), que é um banco de dados de vulnerabilidades voltado para projetos de código aberto, fornecendo dados precisos sobre vulnerabilidades para que possam ser trabalhadas o mais rápido possível.
A versão inicial contém apenas vulnerabilidades encontradas pelo OSS-Fuzz (que incluem principalmente projetos C/C++).
Google apresenta um banco de dados para rastrear vulnerabilidades de código aberto com facilidade
O OSV visa tornar simples o relatório de vulnerabilidade, mostrando uma lista precisa de versões afetadas e commits em um pacote de código aberto. Tudo depende da informação disponível; o OSV requer o envio dos commits que introduziram os bugs e também dos que os corrigiram.
Ele também automatiza o fluxo de trabalho de triagem de um pacote de código aberto, fornecendo uma API para pesquisar vulnerabilidades. Quando executado, o OSV mostra o conjunto de vulnerabilidades que estão afetando a versão especificada do pacote em um formato JSON legível por máquina.
Equipado com essas informações, o usuário do pacote também pode escolher se deseja obter o patch de segurança ou atualizar para uma versão mais recente. Você pode ler mais sobre isso em seu anúncio oficial.
Atualmente, o OSV está sendo oferecido com acesso a milhares de vulnerabilidades de mais de 300 projetos OSS críticos integrados ao OSS-Fuzz e sendo executado no Google Cloud Platform.
O Google tem planos de estender o suporte a vários ecossistemas com a ajuda da comunidade de código aberto, com o OSV sendo de código aberto com um repositório GitHub e um Grupo do Google para discussões sobre o mesmo.
It’s FOSS