Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Schwachstellen: Google möchte die OSV erweitern

Aus der Open-Source-Vulnerability-Datenbank soll sich eine zentrale Sammelstelle für Sicherheitsschwachstellen in Open-Source-Projekten entwickeln.

Artikel veröffentlicht am 25. Juni 2021, 13:15 Uhr, Boris Mayer

Da bröckelt die Mauer: Schwachstellenverzeichnis für Open Source (Bild: Thomas Kohler via Flickr/CC-BY 2.0)

Die von Google vor einigen Monaten für das Projekt OSS-Fuzz gestarte Open-Source-Vulnerability-Datenbank (OSV) soll, nachdem sie sich in dem Projekt bewährt hat, nun auch auf die Erfassung von Schwachstellen in anderen, als Schlüsselsysteme bezeichneten, Open-Source-Systemen erweitert werden und die Informationen darüber zentral zur Verfügung stellen.

Die initiale OSV-Version enthielt laut Google einige Tausend sicherheitsrelevante Schwachstellen aus dem OSS-Fuzz-Projekt. Aufgrund der so gewonnenen Erfahrungen wolle man nun nach einigen Änderungen die Katalogisierung von Schwachstellen deutlich breiter aufstellen.

Zu den Änderungen gehört der Verzicht auf einen API-Key. Google hofft, durch den erleichterten Zugang mehr Nutzer zu gewinnen. Außerdem muss ein Unified-Schema für den Austausch von Schwachstellendaten mit möglichst genauen Informationen geschaffen werden.

Zusammenführung ganz unterschiedlich strukturierter Datensätze

"Wie bei der Open-Source-Entwicklung folgen Schwachstellendatenbanken in Open Source einem verteilten Modell, bei dem viele Ökosysteme und Organisationen ihre eigene Datenbank erstellen", schreibt Google im Securityblogeintrag der Ankündigung. Jedes Projekt habe sein eigenes Format für Schwachstellen, die alle nicht so einfach zusammengeführt werden könnten.

Das Unified-Schema ist für den Informationsaustausch zwischen unterschiedlichsten Systemen gedacht und wurde mit Hilfe von Hunderten Feedback-Kommentaren erstellt. Das Ziel war, ein Schema zu erschaffen, das sowohl automatisiert verwendet werden kann als auch von Menschen lesbar ist.

Noch ist die Spezifikation des Vulnerability-Schemas nicht fertig, man arbeitet weiter daran und erhofft auch weiteres Feedback aus der Community. Trotzdem wird die jetzige Version auch schon genutzt: Die Go vulnerability database, die Rust advisory database, die Python advisory database und die DWF database exportieren ihre Inhalte bereits in das Format - zusätzlich zu den ursprünglichen OSS-Fuzz vulnerabilities.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

ohne Werbung
mit ausgeschaltetem Javascript
mit RSS-Volltext-Feed

Themenseiten:

Kommentarübersicht

Artikel

Gegen Drohnen

Kawasaki stellt mobile Laserwaffe vor

Die Laserkanone, die auf einem kleinen Geländefahrzeug montiert ist, schießt Drohnen aus 100 Metern Entfernung ab.
Dungeons & Dragons: Ehre unter Dieben

Überraschend gut

Zuletzt gab es vor einem Vierteljahrhundert den Versuch, die Welt von Dungeons & Dragons auf die Leinwand zu bringen. Aber der erst der neue Film kommt dem Spielgefühl nahe.
Eine Rezension von Peter Osteried
3D-Drucker

Der Prusa MK4 ist da

Mit dem Prusa MK4 hat der Hersteller viele Elemente verbessert oder komplett ausgetauscht. Der 3D-Drucker kalibriert sich etwa automatisch.

Schnäppchen, Rabatte und Top-Angebote

Die besten Deals des Tages

• Daily Deals • MindStar: Gigabyte RTX 4080 1.229€ statt 1.299€, Intel Core i9-12900K 399€ statt 474€ • SSDs & Festplatten bis -60% • AOC 34" UWQHD 279€ • Xbox-Controller & Konsolen-Bundles bis -27% • Windows Week • 3 Spiele kaufen, 2 zahlen [Werbung]

Themen
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
#