Google：我们的新工具使开源安全漏洞更容易发现

Google已启动了开放源代码漏洞（OSV）网站，该网站提供了一个漏洞数据库，可帮助您对开放源代码项目中的错误进行分类，并帮助开放源代码的维护者和使用者。

Google认为开放源代码软件的用户很难将诸如“常见漏洞和披露”条目的漏洞映射到他们正在使用的程序包版本，因为现有漏洞标准中的版本控制方案与实际的开放源代码版本化方案映射不佳，通常是版本/标记和提交哈希。它警告说：“结果是错过了影响下游消费者的漏洞。”

谷歌已经在赞助开源项目，将其从错误的C代码移植到内存安全的编程语言Rust。上周，它还为开源社区提出了一个框架，以判断哪些项目应被视为“关键”项目，并对为这些项目做出贡献的开发人员制定更严格的规定。 

OSV旨在通过自动化解决围绕新发现的漏洞分类的问题。 

“对于开源的维护者，OSV的自动化有助于减少分流的负担。自动分切及影响分析每个漏洞经历，以确定精确的受灾提交和版本范围，” 谷歌的笔记。 

“类似地，维护人员在修复漏洞后，除了发布所需的过程外，还需要确定下游终端用户的受影响版本或跨所有分支机构的提交的准确列表，这很耗时。不幸的是，许多开源项目， 包括那些这是现代化的基础设施的关键，是在资源和过度劳累。维护者并不总是有创建和发布，即使他们希望他们的弱点彻底的，准确的信息带宽。

“我们正计划与开源社区合作，以扩展来自各种语言生态系统（例如NPM，PyPI）的数据，并制定出程序包维护者以最少的工作提交漏洞的渠道。”

Google的努力通过GitHub反映了Microsoft的开源安全计划，旨在通过Microsoft Teams等工具加快修复速度。 

根据Google的说法，OSV旨在提供“在何处引入了漏洞以及已修复漏洞的位置”的精确数据，从而帮助开源软件的使用者准确地确定漏洞是否受到影响，然后尽快进行安全修复。”

当前，此提要包含OSS-Fuzz的漏洞，该漏洞是由 它创建的用于探测开源软件漏洞的机器人 。OSV中记录的大多数错误均来自C和C ++代码。 

OSS-Fuzz在Google上是一项成功的计划，可帮助发现关键开源项目中的数千个错误。模糊测试涉及将应用程序抛出代码，以使程序崩溃。

鉴于最近的供应链攻击，OSV是Google努力改善开源软件开发中的安全状态的又一步。Google希望社区就关键项目达成共识，然后对这些项目的维护者采用更严格的规则。这只是一个讨论，但该公司希望业界改善开放源代码软件开发中的漏洞管理。 

但是，它列出了380多个关键软件，并认为它们很关键，并且正在与软件包分发平台合作以改善漏洞管理。 

谷歌说：“漏洞管理对于开源软件的消费者和维护者来说都是痛苦的，在许多情况下涉及繁琐的手工工作。”