IT-Security: Google bietet Datenbank zu Lücken in Open-Source-Software

Ob eigene Software oder Abhängigkeiten von Sicherheitslücken betroffen ist, ist teils nicht leicht herauszufinden. Google will hier helfen.

Artikel veröffentlicht am , /Ulrich Bantle/Linux Magazin
Google informiert über bekannte Sicherheitslücken.
Google informiert über bekannte Sicherheitslücken. (Bild: REUTERS/Thomas Peter/File Photo)

Mit den Open Source Vulnerabilities (OSV) hat Google eine Datenbank zu Schwachstellen in Open Source Software gestartet. Dort sollen sich präzise Daten darüber finden, wann Sicherheitslücken entdeckt beziehungsweise veröffentlicht und anschließend auch behoben wurden. Entwicklungsteams sollen so ein Instrument an die Hand bekommen, mit dem sie prüfen können, ob ihre Software von Sicherheitsproblemen betroffen ist, wie Google in seinem Open-Source-Blog schreibt.

Stellenmarkt
  1. (Senior) Computer System Validation Engineer Production IT*
    SCHOTT Pharma AG & Co. KGaA, Mainz
  2. Software Developer (m/w/d) Business Central
    Fellowmind Germany GmbH, Paderborn, Frankfurt, München, Berlin
Detailsuche

Die Datenbasis zum Start stammt dabei zunächst von Googles Test-Werkzeug OSS-Fuzz, später sollen weitere Daten aus verschiedenen Quellen hinzukommen, wie etwa den Paketquellen für Go oder NPM und PyPi. Laut Google beinhaltet OSV derzeit etwa 25.000 Schwachstellen aus über 380 kritischen Open-Source-Projekten. Die meisten davon sind in C und C++ geschrieben.

Eine ähnliche Idee, Betroffene direkt über mögliche Sicherheitslücken in ihren Abhängigkeiten zu informieren, bietet auch der Code-Hoster Github in seinem eigenen Dienst an. Der Anbieter zeigt mit Hilfe des sogenannten Dependency Graph Nutzern bekannte Sicherheitslücken in ihren Abhängigkeiten an. Zusätzlich dazu schlägt Github auch direkt mögliche Lösungen zum Schließen der entsprechenden Lücken vor. Das geht aber natürlich nur in Github selbst.

In der OSV-Datenbank von Google sollen sich die Informationen stattdessen über eine öffentliche API abrufen lassen. Dazu reicht eine Abfrage an OSV, die eine Paketversion oder einen Commit-Hashwert enthält. Zur Nutzung braucht es außerdem einen API-Key von Googles Cloud Console. Die Metadaten der Schwachstelle werden dann in maschinenlesbarem JSON-Format zurückgegeben. Das Projekt ist unter der Apache-Lizenz auf Github zu finden. Es gibt auch eine Mailingliste.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Unbound: Neues Need for Speed verbindet Gaspedal mit Graffiti
    Unbound
    Neues Need for Speed verbindet Gaspedal mit Graffiti

    Veröffentlichung im Dezember 2022 nur für PC und die neuen Konsolen: Electronic Arts hat ein sehr buntes Need for Speed vorgestellt.

  2. Google: Pixel 7 und 7 Pro kosten so viel wie die Vorgänger
    Google
    Pixel 7 und 7 Pro kosten so viel wie die Vorgänger

    Googles Pixel-7-Smartphones kommen mit neuem Tensor-Chip, ansonsten ist die Hardware vertraut. Neuigkeiten gibt es bei der Software.

  3. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /