Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Schwachstellen: Google möchte die OSV erweitern

Aus der Open-Source-Vulnerability-Datenbank soll sich eine zentrale Sammelstelle für Sicherheitsschwachstellen in Open-Source -Projekten entwickeln.
/ Boris Mayer
Kommentare News folgen (öffnet im neuen Fenster)
Da bröckelt die Mauer: Schwachstellenverzeichnis für Open Source (Bild: Thomas Kohler via Flickr)
Da bröckelt die Mauer: Schwachstellenverzeichnis für Open Source Bild: Thomas Kohler via Flickr / CC-BY 2.0

Die von Google vor einigen Monaten für das Projekt OSS-Fuzz(öffnet im neuen Fenster) gestarte Open-Source-Vulnerability-Datenbank (OSV) soll, nachdem sie sich in dem Projekt bewährt hat, nun auch auf die Erfassung von Schwachstellen in anderen, als Schlüsselsysteme bezeichneten, Open-Source-Systemen erweitert werden und die Informationen darüber zentral zur Verfügung stellen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Abteilungsleitung (m/w/d) Max-Planck-Institut für Radioastronomie, Bonn (öffnet im neuen Fenster)
Space Planner - Support & Qualitätsmanagement (w/m/d) dm-drogerie markt GmbH + Co. KG, Karlsruhe (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) Dokumenten-Management IKK Brandenburg und Berlin, Potsdam (öffnet im neuen Fenster)
Cyber Security Engineer (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Kaufmännischer Mitarbeiter / Administrator (m/w/d) Transportmanagement / Disposition HAVI Logistics GmbH, Bingen am Rhein (öffnet im neuen Fenster)
Netzwerkspezialisten (m/w/d) Max Planck Computing and Data Facility, Garching bei München (öffnet im neuen Fenster)
Drei Senior Database Administratoren / Administratorinnen (m/w/d) Deutsche Bundesbank, Frankfurt (öffnet im neuen Fenster)
IT-Koordinator (m/w/d) im Bereich der Digitalisierung der Schulen Stadtverwaltung Sindelfingen, Sindelfingen (öffnet im neuen Fenster)

Die initiale OSV-Version enthielt laut Google einige Tausend sicherheitsrelevante Schwachstellen aus dem OSS-Fuzz-Projekt. Aufgrund der so gewonnenen Erfahrungen wolle man nun nach einigen Änderungen die Katalogisierung von Schwachstellen deutlich breiter aufstellen.

Zu den Änderungen gehört der Verzicht auf einen API-Key. Google hofft, durch den erleichterten Zugang mehr Nutzer zu gewinnen. Außerdem muss ein Unified-Schema für den Austausch von Schwachstellendaten mit möglichst genauen Informationen geschaffen werden.

Zusammenführung ganz unterschiedlich strukturierter Datensätze

"Wie bei der Open-Source-Entwicklung folgen Schwachstellendatenbanken in Open Source einem verteilten Modell, bei dem viele Ökosysteme und Organisationen ihre eigene Datenbank erstellen" , schreibt Google im Securityblogeintrag der Ankündigung(öffnet im neuen Fenster) . Jedes Projekt habe sein eigenes Format für Schwachstellen, die alle nicht so einfach zusammengeführt werden könnten.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Das Unified-Schema ist für den Informationsaustausch zwischen unterschiedlichsten Systemen gedacht und wurde mit Hilfe von Hunderten Feedback-Kommentaren erstellt. Das Ziel war, ein Schema zu erschaffen, das sowohl automatisiert verwendet werden kann als auch von Menschen lesbar ist.

Noch ist die Spezifikation des Vulnerability-Schemas nicht fertig, man arbeitet weiter daran und erhofft auch weiteres Feedback aus der Community. Trotzdem wird die jetzige Version auch schon genutzt: Die Go vulnerability database(öffnet im neuen Fenster) , die Rust advisory database(öffnet im neuen Fenster) , die Python advisory database(öffnet im neuen Fenster) und die DWF database(öffnet im neuen Fenster) exportieren ihre Inhalte bereits in das Format - zusätzlich zu den ursprünglichen OSS-Fuzz vulnerabilities(öffnet im neuen Fenster) .

Zur Startseite Kommentare

Relevante Themen

Open SourceSoftwareToolsSecurityWissenGoogleDatensicherheitApplikationen