IT-Security: Google bietet Datenbank zu Lücken in Open-Source-Software

Ob eigene Software oder Abhängigkeiten von Sicherheitslücken betroffen ist, ist teils nicht leicht herauszufinden. Google will hier helfen.

Artikel veröffentlicht am , /Ulrich Bantle/Linux Magazin
Google informiert über bekannte Sicherheitslücken.
Google informiert über bekannte Sicherheitslücken. (Bild: REUTERS/Thomas Peter/File Photo)

Mit den Open Source Vulnerabilities (OSV) hat Google eine Datenbank zu Schwachstellen in Open Source Software gestartet. Dort sollen sich präzise Daten darüber finden, wann Sicherheitslücken entdeckt beziehungsweise veröffentlicht und anschließend auch behoben wurden. Entwicklungsteams sollen so ein Instrument an die Hand bekommen, mit dem sie prüfen können, ob ihre Software von Sicherheitsproblemen betroffen ist, wie Google in seinem Open-Source-Blog schreibt.

Stellenmarkt
  1. (Junior) IT-System-Engineer Microsoft (m/w/d)
    BUCS IT, Wuppertal
  2. ERP-Anwendungsentwickler und -betreuer (m/w/d)
    Th. Geyer GmbH & Co. KG, Höxter
Detailsuche

Die Datenbasis zum Start stammt dabei zunächst von Googles Test-Werkzeug OSS-Fuzz, später sollen weitere Daten aus verschiedenen Quellen hinzukommen, wie etwa den Paketquellen für Go oder NPM und PyPi. Laut Google beinhaltet OSV derzeit etwa 25.000 Schwachstellen aus über 380 kritischen Open-Source-Projekten. Die meisten davon sind in C und C++ geschrieben.

Eine ähnliche Idee, Betroffene direkt über mögliche Sicherheitslücken in ihren Abhängigkeiten zu informieren, bietet auch der Code-Hoster Github in seinem eigenen Dienst an. Der Anbieter zeigt mit Hilfe des sogenannten Dependency Graph Nutzern bekannte Sicherheitslücken in ihren Abhängigkeiten an. Zusätzlich dazu schlägt Github auch direkt mögliche Lösungen zum Schließen der entsprechenden Lücken vor. Das geht aber natürlich nur in Github selbst.

In der OSV-Datenbank von Google sollen sich die Informationen stattdessen über eine öffentliche API abrufen lassen. Dazu reicht eine Abfrage an OSV, die eine Paketversion oder einen Commit-Hashwert enthält. Zur Nutzung braucht es außerdem einen API-Key von Googles Cloud Console. Die Metadaten der Schwachstelle werden dann in maschinenlesbarem JSON-Format zurückgegeben. Das Projekt ist unter der Apache-Lizenz auf Github zu finden. Es gibt auch eine Mailingliste.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle

Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
Von James Dyke, Robert Watson und Wolfgang Knorr

Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
Artikel
  1. Smartphone: Google soll Pixel-6-Produktion verdoppeln
    Smartphone
    Google soll Pixel-6-Produktion verdoppeln

    Google erwartet offenbar, dass das Pixel 6 stärker nachgefragt wird: Die Bestellungen sind doppelt so hoch wie die Produktion im Jahr 2020.

  2. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  3. Security: IT-Angriff legt Stadtverwaltung Witten lahm
    Security
    IT-Angriff legt Stadtverwaltung Witten lahm

    Ob es sich im Fall von Witten ebenfalls um einen Ransomware-Angriff handelt, ist noch nicht klar, die Verwaltung aber stark eingeschränkt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /