Ο ιστότοπος Open Source Vulnerilities (OSV) που δημιουργήθηκε από την Google, προσφέρει μια βάση δεδομένων για ευπάθειες, με στόχο να βοηθήσει στη διόρθωση bugs σε έργα ανοιχτού κώδικα και να βοηθήσει τους συντηρητές και τους καταναλωτές ανοιχτού κώδικα.
Η Google υποστηρίζει ότι οι χρήστες λογισμικού ανοιχτού κώδικα δυσκολεύονται να χαρτογραφήσουν μια ευπάθεια στις εκδόσεις πακέτων που χρησιμοποιούν, επειδή τα σχήματα εκδόσεων σε υπάρχοντα πρότυπα ευπάθειας δεν αντιστοιχούν σωστά με τα πραγματικά σχήματα εκδόσεων ανοιχτού κώδικα. “Το αποτέλεσμα είναι χαμένες ευπάθειες που επηρεάζουν τους μεταγενέστερους καταναλωτές“, προειδοποιεί.
Η Google χορηγεί ήδη έργα ανοιχτού κώδικα για να τα μετακινήσει από την προβληματική C στην ασφαλή γλώσσα προγραμματισμού Rust. Την περασμένη εβδομάδα, πρότεινε επίσης ένα πλαίσιο ώστε η κοινότητα ανοιχτού κώδικα να κρίνει ποια έργα θα πρέπει να θεωρηθούν «κρίσιμα» και αυστηρότερους κανόνες για τους προγραμματιστές που συμβάλλουν σε αυτά τα έργα.
Το OSV στοχεύει στην αντιμετώπιση ζητημάτων γύρω από τη δημιουργία σφαλμάτων που ανακαλύφθηκαν πρόσφατα μέσω αυτοματισμού.
“Για συντηρητές ανοιχτού κώδικα, ο αυτοματισμός του OSV συμβάλλει στη μείωση του βάρους της δοκιμασίας. Κάθε ευπάθεια υποβάλλεται σε αυτοματοποιημένη ανάλυση διχοτόμησης και αντίκτυπου για τον προσδιορισμό των συγκεκριμένων σειρών δεσμεύσεων και εκδόσεων που επηρεάζονται“, σημειώνει η Google.
“Σκοπεύουμε να συνεργαστούμε με κοινότητες ανοιχτού κώδικα για να επεκτείνουμε δεδομένα από διάφορα γλωσσικά οικοσυστήματα (π.χ. NPM, PyPI) και να επεξεργαστούμε έναν αγωγό ώστε οι συντηρητές πακέτων να υποβάλουν τρωτά σημεία με ελάχιστη προσπάθεια.“
Η προσπάθεια της Google αντικατοπτρίζει τις πρωτοβουλίες ασφαλείας ανοιχτού κώδικα της Microsoft μέσω του GitHub που στοχεύουν στην επιτάχυνση της αποκατάστασης μέσω εργαλείων όπως το Microsoft Teams.
Σύμφωνα με την Google, το OSV προορίζεται να παρέχει ακριβή δεδομένα σχετικά με το “πού παρουσιάστηκε μια ευπάθεια και πού επιδιορθώθηκε, βοηθώντας έτσι τους καταναλωτές λογισμικού ανοιχτού κώδικα να προσδιορίσουν με ακρίβεια εάν επηρεάζονται και στη συνέχεια να κάνουν διορθώσεις ασφαλείας το συντομότερο δυνατό.“
Προς το παρόν, αυτή η ροή περιέχει ευπάθειες από το OSS-Fuzz, το bot που δημιουργήθηκε για τον εντοπισμό λογισμικού ανοιχτού κώδικα για σφάλματα. Τα περισσότερα από τα σφάλματα που κατατέθηκαν στο OSV προέρχονται από τον κώδικα C και C ++.
Το OSS-Fuzz υπήρξε ένα επιτυχημένο πρόγραμμα της Google, βοηθώντας στην αποκάλυψη χιλιάδων σφαλμάτων σε βασικά έργα ανοιχτού κώδικα.
 που δημιουργήθηκε από την Google, προσφέρει μια βάση δεδομένων για ευπάθειες, με στόχο να βοηθήσει){kind=link}