• IT-Karriere:
  • Services:

IT-Security: Google bietet Datenbank zu Lücken in Open-Source-Software

Ob eigene Software oder Abhängigkeiten von Sicherheitslücken betroffen ist, ist teils nicht leicht herauszufinden. Google will hier helfen.

Artikel veröffentlicht am , /Ulrich Bantle/Linux Magazin
Google informiert über bekannte Sicherheitslücken.
Google informiert über bekannte Sicherheitslücken. (Bild: REUTERS/Thomas Peter/File Photo)

Mit den Open Source Vulnerabilities (OSV) hat Google eine Datenbank zu Schwachstellen in Open Source Software gestartet. Dort sollen sich präzise Daten darüber finden, wann Sicherheitslücken entdeckt beziehungsweise veröffentlicht und anschließend auch behoben wurden. Entwicklungsteams sollen so ein Instrument an die Hand bekommen, mit dem sie prüfen können, ob ihre Software von Sicherheitsproblemen betroffen ist, wie Google in seinem Open-Source-Blog schreibt.

Stellenmarkt
  1. Kölner Verkehrs-Betriebe AG, Köln
  2. AVL List GmbH, Graz (Österreich)

Die Datenbasis zum Start stammt dabei zunächst von Googles Test-Werkzeug OSS-Fuzz, später sollen weitere Daten aus verschiedenen Quellen hinzukommen, wie etwa den Paketquellen für Go oder NPM und PyPi. Laut Google beinhaltet OSV derzeit etwa 25.000 Schwachstellen aus über 380 kritischen Open-Source-Projekten. Die meisten davon sind in C und C++ geschrieben.

Eine ähnliche Idee, Betroffene direkt über mögliche Sicherheitslücken in ihren Abhängigkeiten zu informieren, bietet auch der Code-Hoster Github in seinem eigenen Dienst an. Der Anbieter zeigt mit Hilfe des sogenannten Dependency Graph Nutzern bekannte Sicherheitslücken in ihren Abhängigkeiten an. Zusätzlich dazu schlägt Github auch direkt mögliche Lösungen zum Schließen der entsprechenden Lücken vor. Das geht aber natürlich nur in Github selbst.

In der OSV-Datenbank von Google sollen sich die Informationen stattdessen über eine öffentliche API abrufen lassen. Dazu reicht eine Abfrage an OSV, die eine Paketversion oder einen Commit-Hashwert enthält. Zur Nutzung braucht es außerdem einen API-Key von Googles Cloud Console. Die Metadaten der Schwachstelle werden dann in maschinenlesbarem JSON-Format zurückgegeben. Das Projekt ist unter der Apache-Lizenz auf Github zu finden. Es gibt auch eine Mailingliste.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. LG OLED65BX9LA 100Hz HDMI 2.1 für 1.499€ - Bestpreis)
  2. (u. a. Gainward GeForce RTX 3060 PEGASUS für 629€)
  3. gratis (bis 10. März, 10 Uhr)
  4. mit 299€ neuer Bestpreis auf Geizhals

Folgen Sie uns
       


Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
Gamestop-Blase: Am Ende haben wieder die Großinvestoren gewonnen
Gamestop-Blase
Am Ende haben wieder die Großinvestoren gewonnen

Der Börsenrausch um die Gamestop-Aktie hat weder Kapital umverteilt noch wurde der Finanzmarkt dadurch demokratisiert. Vielmehr gewannen wie bei jeder Blase die großen Investoren.
Eine Analyse von Gerd Mischler

  1. Trade Republic EU will Trading-Apps wegen Gamestop-Aktie untersuchen
  2. Wallstreetbets Gamestop-Aktie steigt massiv - Handel zeitweise gestoppt
  3. Wallstreetbets Finanzchef von Gamestop tritt zurück

Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm

Whatsapp, Signal, Telegram: Regierung fordert Nutzerverifizierung bei Messengern
Whatsapp, Signal, Telegram
Regierung fordert Nutzerverifizierung bei Messengern

Ebenfalls auf der Wunschliste des Innenministeriums: Provider sollen für Staatstrojaner Datenströme umleiten und Ermittlern Zugang zu Servern erlauben.
Ein Bericht von Friedhelm Greis

  1. Whatsapp, Signal, Telegram Datenschutzbeauftragter gegen Verifizierung bei Messengern
  2. Großbritannien Datenleck bei Kindergarten-Überwachungskameras
  3. Überwachungsgesamtrechnung "Weiter im Überwachungsnebel waten"

    •  /