The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google запустил сервис OSV (Open Source Vulnerabilities)

06.02.2021 09:01

Компания Google ввела в строй новый сервис OSV (Open Source Vulnerabilities), предлагающий доступ к базе данных с информацией об уязвимостях в открытом ПО. Сервис предоставляет API, позволяющий автоматизировать формирование запросов для получения информации об уязвимостях, с привязкой к состоянию репозитория с кодом. Уязвимостям присваиваются отдельные OSV-идентификаторы, которые дополняют CVE расширенной информацией. В частности, в базе OSV отражён статус исправления проблемы, указаны коммиты с появлением и исправлением уязвимости, диапазон подверженных уязвимости версий, ссылки на репозиторий проекта с кодом и уведомление о проблеме.

Основной целью создания OSV является упрощение процесса информирования мэйнтейнеров пакетов об уязвимостях, благодаря точному определению версий и коммитов, которые затрагивает проблема. Присутствующие данные позволяют на уровне коммитов и тегов отследить проявление уязвимости и проанализировать подверженность проблеме производных продуктов и зависимостей. Например, API позволяет запросить информацию о наличии уязвимостей по номеру коммита или версии программы.

В настоящее время в базе присутствуют около 25 тысяч проблем, выявленных в процессе автоматизированного fuzzing-тестирования в системе OSS-Fuzz, охватывающего код более 380 открытых проектов на языках C/C++. В будущем к БД планируется подключить дополнительные источники информации об уязвимостях. Например, ведётся работа по интеграции информации об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl.

  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: Google открыл код ClusterFuzz, платформы для выявления ошибок и уязвимостей
  3. OpenNews: Итоги пяти месяцев изучения безопасности СПО проектом OSS-Fuzz
  4. OpenNews: Google представил OSS-Fuzz, сервис для анализа безопасности открытого ПО
  5. OpenNews: Разработчики Chromium представили кластер для автоматизации выявления уязвимостей
  6. OpenNews: Google будет раскрывать сведения об уязвимостях в сторонних Android-устройствах
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/54540-osv
Ключевые слова: osv, oss-fuzz
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (63) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 09:14, 06/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    >доступ к базе данных с информацией об уязвимостях в открытом ПО.

    Лучше бы открыли свою (нашу) поисковую базу данных.

     
     
  • 2.37, Аноним (-), 20:26, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Какую базу? Распределенные хранилища, чтоб вы второй гугл слепили? ЩАЗЗЗЗЗЗ!!! Наймите себе корпу лучших инженеров планеты и сами такое напрогайте. Если сможете. Вот тогда будете вторым гуглом по праву.
     
     
  • 3.63, Вися (?), 06:21, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нафига?... Есть очень достойные открытые поисковики.
     
     
  • 4.65, Аноним (-), 08:58, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Например ?
     
     
  • 5.67, Ростелеком (?), 11:31, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Например, поисковый портал «Спутник» очень хорошо себя зарекомендовал.
     
     
  • 6.68, m (??), 13:52, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    :)
     
  • 6.69, Ты идиот (?), 15:42, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Среди кого?
     
     
  • 7.72, И диод (?), 21:18, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Например среди распильной промышленности
     

  • 1.4, Fracta1L (ok), 09:50, 06/02/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –8 +/
     
     
  • 2.5, Fracta1L (ok), 09:51, 06/02/2021 Скрыто модератором
  • –7 +/
     
     
  • 3.12, Аноним (12), 11:41, 06/02/2021 Скрыто модератором
  • +8 +/
     
     
  • 4.36, Аноним (36), 20:21, 06/02/2021 Скрыто модератором
  • +6 +/
     
  • 2.8, Аноним (8), 09:59, 06/02/2021 Скрыто модератором
  • –1 +/
     
     
  • 3.26, псевдонимус (?), 14:23, 06/02/2021 Скрыто модератором
  • –3 +/
     
  • 2.10, Корец (?), 10:46, 06/02/2021 Скрыто модератором
  • +3 +/
     
     
  • 3.15, Аноним (15), 12:33, 06/02/2021 Скрыто модератором
  • +13 +/
     
     
  • 4.29, Нигга (?), 15:52, 06/02/2021 Скрыто модератором
  • –2 +/
     
     
  • 5.30, InuYasha (??), 16:44, 06/02/2021 Скрыто модератором
  • –1 +/
     
  • 2.16, Аноним (16), 12:53, 06/02/2021 Скрыто модератором
  • –2 +/
     
     
  • 3.24, Аноним (24), 14:11, 06/02/2021 Скрыто модератором
  • –1 +/
     

     ....ответы скрыты модератором (11)

  • 1.6, Аноним (6), 09:51, 06/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    ну теперь все дыры всем на обозрение. Если вовремя не исправили то подарочек для хакера.
     
     
  • 2.19, Аноним (19), 13:53, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На самом деле нет.
     
     
  • 3.21, srgazh (ok), 14:02, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну для ментеиниров очень даже, и для админов.
     
  • 2.25, Аноним (24), 14:12, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если никто не знает про уязвимость зачем от ней защищаться?
     
     
  • 3.42, Аноним (42), 21:41, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если никто не знает про уязвимость зачем от ней защищаться?

    А где гарантия, что не узнают через пять минут (месяц, год etc)? Ведь когда узнают трезвонить об этом на каждом углу будут не все - найдутся те, кто решит сначала попользоваться, пока никто другой не знает. А Вы - не защищаетесь и даже не знаете, что Вашу систему уже взломали :(, Ваши данные уже приносят кому-то (не Вам!) прибыль, Вашу систему уже используют для разных неприглядных дел... security by obscurity - не самая надежная (а скорее всего самая ненадежная) стратегия защиты.

     

  • 1.9, Аноним (-), 10:34, 06/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > We're sorry but frontend2 doesn't work properly without JavaScript enabled. Please enable it to continue.

    Это такие сайты от гугля, ну понятен уровень.

     
     
  • 2.14, anonymous (??), 12:26, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Уровень" чего?
     
     
  • 3.17, Аноним (-), 13:12, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Профессионализма вестимо же. Кому оно с жыэсом в голову пришло делать когда такие сайты парсяцо постопяцот раз на дню не говоря про то что туда может зайти человек.
     
     
  • 4.23, Ordu (ok), 14:10, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кому придёт в голову парсить html, когда можно парсить json? Чисто данные, без всего этого вашего форматирования, упакованные в транспортный формат. В текстовый формат, кстати, прям как патриархи UnixWay завещали.
     
     
  • 5.46, Аноним (46), 04:40, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому придёт в голову парсить html, когда можно парсить json? Чисто данные,
    > без всего этого вашего форматирования, упакованные в транспортный формат. В текстовый
    > формат, кстати, прям как патриархи UnixWay завещали.

    1) Где это завещание было?
    2) Текстовые форматы сами по себе кучу вулнов приносят. Достаточно подсунуть такому орлу файло с 0x0a в имени и поугарать с результатов.

    А в случае с жысон можно что-нибудь поинтереснее. Скажем если это вебморда жевала, в нее как раз инъекция на раз делается, ну вот спереть у админа куки и порулить :)

     
     
  • 6.47, Ordu (ok), 07:04, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кому придёт в голову парсить html, когда можно парсить json? Чисто данные,
    >> без всего этого вашего форматирования, упакованные в транспортный формат. В текстовый
    >> формат, кстати, прям как патриархи UnixWay завещали.
    > 1) Где это завещание было?

    TAOUP

    > А в случае с жысон можно что-нибудь поинтереснее. Скажем если это вебморда
    > жевала, в нее как раз инъекция на раз делается, ну вот
    > спереть у админа куки и порулить :)

    Попробуй. Сопри куки. Сегодня модно делать RPC-like API на стеке JSON/HTTPS/TCP/IP, сайтов с такими API больше, чем я чисел знаю. У гугла скажем много, субж в частности. Возьми и сопри.

     
  • 5.48, Аноним (-), 07:17, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Где ты там json увидел ?
     
     
  • 6.49, Ordu (ok), 07:43, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Где ты там json увидел ?

    Во-первых, мне и видеть не надо. Если DOM генерится на стороне клиента жабоскриптом, значит всё значимое прокидывается туда json'ом. Во-вторых, там ссылка есть на описание API, просто включи в uMatrix first-party скрипты и узри.

     
     
  • 7.53, Аноним (-), 12:48, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Где конкретно ? Это говно хочет жабаскриптов мне назопускать, чего никогда не будет.
     
     
  • 8.60, Я (??), 18:31, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну жди когда в газете напишут, там вырезки сделаешь почитаешь ... текст свёрнут, показать
     
  • 8.62, Ordu (ok), 00:48, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если у тебя не работают js, то это твои проблемы Иди поплачься мамке своей, мож... текст свёрнут, показать
     
     
  • 9.66, Аноним (-), 09:00, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Значит неработает Свои советы с подpочить-попрыгать оставь при себе ... текст свёрнут, показать
     
  • 4.43, Kuromi (ok), 23:31, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так на то и рассчет чтобы не парсили. а платили $ за доступ к API.
     
  • 3.31, Аноним (-), 16:45, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Пожалуйста, отключите JavaScript для полнофункционального просмотра и дополнительных возможностей нашего Сайта"
     
  • 3.32, InuYasha (??), 16:46, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    деградации.
     
  • 2.73, Аноним (73), 01:08, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы только посмотрите, у бедного гугла нет ресурсов: https://github.com/google/osv/issues/56
     
     
  • 3.75, Аноним (-), 18:40, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас раплачусь. Бедненькие :D
     

  • 1.11, Аноним (11), 11:02, 06/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Надеюсь этот сервис в итоге не пополнит гору закопанных гугловских.
     
     
  • 2.20, Аноним (19), 13:58, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    В топку их сервисы.
     
     
  • 3.70, Ты идиот (?), 15:46, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да и тебя тоже🤣
     
  • 2.27, псевдонимус (?), 14:24, 06/02/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надеюсь пополнит.
     

  • 1.13, Карабьян (?), 12:09, 06/02/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     
  • 1.33, Аноним (33), 17:50, 06/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Они легально продают инфу об уязвимостях?
     
     
  • 2.56, Аноним (-), 14:38, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот кстати да, именно такая сейчас ассоциация с этим "вебсайтом".
     

  • 1.40, deeaitch (ok), 21:15, 06/02/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
  • 1.44, Аноним (44), 00:25, 07/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хомячки набегут, а корпорасты потом бабло рубить будут и профит затрат ноль.
     
     
  • 2.71, Ты идиот (?), 15:47, 08/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Завидовать не хорошо.
     

  • 1.45, Fedd (ok), 01:13, 07/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    есть же cvedetails.com
     
     
  • 2.50, Аноним (50), 10:00, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > есть же cvedetails.com

    Там нет данных по коммитам, в которых появилась и исправлена уязвимость. И зависимости не отследишь.

     

  • 1.51, Аноним (51), 12:02, 07/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хорошая попытка, но нет
     
  • 1.52, Аноним (52), 12:41, 07/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Проприетарщик-монополист делает опен-соурс проект - как же лицемерно
     
  • 1.57, Аноним (57), 14:40, 07/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой шикарный подарок для взломщиков. Быстренько найты дыру, которую разрабы ещё не успели пофиксить. Гугл чёрные хакера-альтруисты.
     
  • 1.58, Аноним (58), 16:55, 07/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чем это отличается от https://cve.mitre.org/
     
     
  • 2.59, Аноним (-), 18:18, 07/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное тем что лохи могут посылать найденные баги прямо в гугол, а тот в свою очередь предложит кое-что увеличить судя по конкретным данным прежде чем решить надо ли тебе вообще видеть детали или лучше отправить на ютупчик моски просушить.
     

  • 1.61, Аноним (61), 19:06, 07/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    TODO list что-ли?
     
  • 1.64, Аноним (64), 08:00, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > ведётся работа по интеграции информации об уязвимостях в проектах на языке Go, а также экосистемах NPM и PyPl.

    А где раст? Фрактальной о вашем растений забыли!

     
     
  • 2.76, Аноним (-), 18:43, 09/02/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он непогрешим. Партия сказала раст безопасен - значит безопасен, сомневающихся будем травить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру