Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

IT-Security: Google bietet Datenbank zu Lücken in Open-Source-Software

Ob eigene Software oder Abhängigkeiten von Sicherheitslücken betroffen ist, ist teils nicht leicht herauszufinden. Google will hier helfen.
/ Sebastian Grüner und Ulrich Bantle (Linux Magazin)
Kommentare Auf Google folgen (öffnet im neuen Fenster)
Google informiert über bekannte Sicherheitslücken. (Bild: REUTERS/Thomas Peter/File Photo)
Google informiert über bekannte Sicherheitslücken. Bild: REUTERS/Thomas Peter/File Photo

Mit den Open Source Vulnerabilities(öffnet im neuen Fenster) (OSV) hat Google eine Datenbank zu Schwachstellen in Open Source Software gestartet. Dort sollen sich präzise Daten darüber finden, wann Sicherheitslücken entdeckt beziehungsweise veröffentlicht und anschließend auch behoben wurden. Entwicklungsteams sollen so ein Instrument an die Hand bekommen, mit dem sie prüfen können, ob ihre Software von Sicherheitsproblemen betroffen ist, wie Google in seinem Open-Source-Blog(öffnet im neuen Fenster) schreibt.

Die Datenbasis zum Start stammt dabei zunächst von Googles Test-Werkzeug OSS-Fuzz, später sollen weitere Daten aus verschiedenen Quellen hinzukommen, wie etwa den Paketquellen für Go oder NPM und PyPi. Laut Google beinhaltet OSV derzeit etwa 25.000 Schwachstellen aus über 380 kritischen Open-Source-Projekten. Die meisten davon sind in C und C++ geschrieben.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)
Data Quality and BI Governance Manager (w/m/d) Deutsche Glasfaser Unternehmensgruppe, Düsseldorf (öffnet im neuen Fenster)
IT-Business-Architect (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)
Senior Produktmanager Banking-App (w/m/d) ING Deutschland, Nürnberg,Frankfurt am Main (öffnet im neuen Fenster)
Informationssicherheitsbeauftragter (m/w/d) Vollzeit / Teilzeit Sparkasse Rhein Neckar Nord, Weinheim (öffnet im neuen Fenster)
Laboringenieur*in KI-Infrastruktur und Wissenschaftsverwaltung (w/m/d) Technische Hochschule Wildau, Wildau (öffnet im neuen Fenster)
Fachinformatiker (m/w/d) für Informations- und Telekommunikationstechnik Dominikus-Ringeisen-Werk, Ursberg (öffnet im neuen Fenster)
Workplace System Manager (w/m/d) Hensoldt, Taufkirchen,Ulm,Oberkochen (öffnet im neuen Fenster)
(Senior) Account Manager Commercial (w/m/d) Bechtle IT-Systemhaus GmbH & Co. KG, Düsseldorf (öffnet im neuen Fenster)

Eine ähnliche Idee, Betroffene direkt über mögliche Sicherheitslücken in ihren Abhängigkeiten zu informieren, bietet auch der Code-Hoster Github in seinem eigenen Dienst an. Der Anbieter zeigt mit Hilfe des sogenannten Dependency Graph Nutzern bekannte Sicherheitslücken in ihren Abhängigkeiten an. Zusätzlich dazu schlägt Github auch direkt mögliche Lösungen zum Schließen der entsprechenden Lücken vor. Das geht aber natürlich nur in Github selbst.

In der OSV-Datenbank von Google sollen sich die Informationen stattdessen über eine öffentliche API abrufen lassen. Dazu reicht eine Abfrage an OSV, die eine Paketversion oder einen Commit-Hashwert enthält. Zur Nutzung braucht es außerdem einen API-Key von Googles Cloud Console. Die Metadaten der Schwachstelle werden dann in maschinenlesbarem JSON-Format zurückgegeben. Das Projekt ist unter der Apache-Lizenz auf Github(öffnet im neuen Fenster) zu finden. Es gibt auch eine Mailingliste(öffnet im neuen Fenster).

Zur Startseite Kommentare

Relevante Themen

Open SourceSoftwareSoftwareentwicklungSecuritySicherheitslückeWissenGoogleNPM