[[407280]]

Google 宣布推出一個新的開源漏洞結構，以解決管理開源漏洞的一些關鍵問題。

{ 
 
        "id": string, 
        "modified": string, 
        "published": string, 
        "withdrawn": string, 
        "aliases": [ string ], 
        "related": [ string ], 
        "package": { 
                "ecosystem": string, 
                "name": string, 
                "purl": string, 
        }, 
        "summary": string, 
        "details": string, 
        "affects": [ { 
                "ranges": [ { 
                        "type": string, 
                        "repo": string, 
                        "introduced": string, 
                        "fixed": string 
                } ], 
                "versions": [ string ] 
        } ], 
        "references": [ { 
                "type": string, 
                "url": string 
        } ], 
        "ecosystem_specific": { see spec }, 
        "database_specific": { see spec }, 
} 

今年 2 月，Google 曾推出開源漏洞 (OSV) 數據庫， 旨在幫助開源項目的開發人員和用戶應對開源項目漏洞和改進漏洞分類。 現在，Google 已經把 OSV 擴展到幾個關鍵的開源生態系統中：Go、Rust、Python 和 DWF，并將這四個重要的漏洞數據庫聯合并聚合，為軟件開發人員提供了一種更好的方式來跟蹤和修復影響他們的安全問題。

同時，Google 表示由于各個生態系統和組織都使用自己的格式來描述漏洞，因此跨多個數據庫跟蹤漏洞的客戶端必須完全獨立地處理每個漏洞，在數據庫之間共享漏洞也很困難。對此，其推出了這個新的開源漏洞結構，該結構有以下特點：

• 強制執行與實際開源包生態系統中使用的命名和版本控制方案精確匹配的版本規范。例如，將 CVE 等漏洞與包管理器中的包名稱和版本集進行匹配很難使用現有機制(例如 CPE)以自動化方式進行。
• 可用于描述任何開源生態系統中的漏洞，而不需要依賴生態系統的邏輯來處理它們。
• 易用于自動化系統和人類使用。

Google 表示，其希望通過這個模式定義一種所有漏洞數據庫都可以導出的格式。統一格式意味著漏洞數據庫、開源用戶和安全研究人員可以輕松共享工具并在所有開源中使用漏洞。這意味著每個人都可以更全面地了解開源中的漏洞，以及更輕松的自動化帶來的更快檢測和修復時間。

目前，該結構已經經歷了多次迭代，并且許多公共漏洞數據庫已經在導出這種格式，將來還有更多的數據庫采用該結構，包括但不限于 Go 漏洞數據庫、Rust 咨詢數據庫以及 Python 咨詢數據庫。

本文轉自OSCHINA

本文標題：Google 推出新的開源漏洞結構

本文地址：https://www.oschina.net/news/147607/google-announce-new-osv-scheme