Schwachstellen: Google möchte die OSV erweitern

Aus der Open-Source-Vulnerability-Datenbank soll sich eine zentrale Sammelstelle für Sicherheitsschwachstellen in Open-Source-Projekten entwickeln.

Artikel veröffentlicht am ,
Da bröckelt die Mauer: Schwachstellenverzeichnis für Open Source
Da bröckelt die Mauer: Schwachstellenverzeichnis für Open Source (Bild: Thomas Kohler via Flickr/CC-BY 2.0)

Die von Google vor einigen Monaten für das Projekt OSS-Fuzz gestarte Open-Source-Vulnerability-Datenbank (OSV) soll, nachdem sie sich in dem Projekt bewährt hat, nun auch auf die Erfassung von Schwachstellen in anderen, als Schlüsselsysteme bezeichneten, Open-Source-Systemen erweitert werden und die Informationen darüber zentral zur Verfügung stellen.

Stellenmarkt
  1. IT-Service-Manager*in Crossmedialer Systembetrieb
    Hessischer Rundfunk Anstalt des öffentlichen Rechts, Frankfurt am Main
  2. Kaufmännischer Sachbearbeiter (m/w/d) im Bereich Datenpflege
    Königsteiner Services GmbH, Stuttgart
Detailsuche

Die initiale OSV-Version enthielt laut Google einige Tausend sicherheitsrelevante Schwachstellen aus dem OSS-Fuzz-Projekt. Aufgrund der so gewonnenen Erfahrungen wolle man nun nach einigen Änderungen die Katalogisierung von Schwachstellen deutlich breiter aufstellen.

Zu den Änderungen gehört der Verzicht auf einen API-Key. Google hofft, durch den erleichterten Zugang mehr Nutzer zu gewinnen. Außerdem muss ein Unified-Schema für den Austausch von Schwachstellendaten mit möglichst genauen Informationen geschaffen werden.

Zusammenführung ganz unterschiedlich strukturierter Datensätze

"Wie bei der Open-Source-Entwicklung folgen Schwachstellendatenbanken in Open Source einem verteilten Modell, bei dem viele Ökosysteme und Organisationen ihre eigene Datenbank erstellen", schreibt Google im Securityblogeintrag der Ankündigung. Jedes Projekt habe sein eigenes Format für Schwachstellen, die alle nicht so einfach zusammengeführt werden könnten.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    21.06.2022, Virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    19./20.05.2022, Virtuell
Weitere IT-Trainings

Das Unified-Schema ist für den Informationsaustausch zwischen unterschiedlichsten Systemen gedacht und wurde mit Hilfe von Hunderten Feedback-Kommentaren erstellt. Das Ziel war, ein Schema zu erschaffen, das sowohl automatisiert verwendet werden kann als auch von Menschen lesbar ist.

Noch ist die Spezifikation des Vulnerability-Schemas nicht fertig, man arbeitet weiter daran und erhofft auch weiteres Feedback aus der Community. Trotzdem wird die jetzige Version auch schon genutzt: Die Go vulnerability database, die Rust advisory database, die Python advisory database und die DWF database exportieren ihre Inhalte bereits in das Format - zusätzlich zu den ursprünglichen OSS-Fuzz vulnerabilities.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernsehen
Mit Satelliten-TV, Kodi und Ethernet zur Videosammlung

Satelliten-Fernsehen ist die beste Möglichkeit, sich eine private Film- und Seriendatenbank aufzubauen. Wir zeigen, welche Technik gebraucht und wie sie eingerichtet wird.
Eine Anleitung von Mathias Küfner

Fernsehen: Mit Satelliten-TV, Kodi und Ethernet zur Videosammlung
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. FTTH: Deutsche Telekom kündigt weitere Glasfaserstadt an
    FTTH
    Deutsche Telekom kündigt weitere Glasfaserstadt an

    Mit Nürnberg kündigt die Telekom eine weitere Glasfaserstadt an. Der Ausbau im Großraum der Stadt soll eine halbe Milliarde Euro kosten.

  3. Missbrauchs-Vorwürfe: SpaceX zahlte 250.000 US-Dollar Abfindung
    Missbrauchs-Vorwürfe
    SpaceX zahlte 250.000 US-Dollar Abfindung

    Elon Musk soll einer Flugbegleiterin Geld für Sex angeboten haben. SpaceX zahlte für eine Geheimhaltungsvereinbarung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /