Schwachstellen: Google möchte die OSV erweitern

Aus der Open-Source-Vulnerability-Datenbank soll sich eine zentrale Sammelstelle für Sicherheitsschwachstellen in Open-Source-Projekten entwickeln.

Artikel veröffentlicht am ,
Da bröckelt die Mauer: Schwachstellenverzeichnis für Open Source
Da bröckelt die Mauer: Schwachstellenverzeichnis für Open Source (Bild: Thomas Kohler via Flickr/CC-BY 2.0)

Die von Google vor einigen Monaten für das Projekt OSS-Fuzz gestarte Open-Source-Vulnerability-Datenbank (OSV) soll, nachdem sie sich in dem Projekt bewährt hat, nun auch auf die Erfassung von Schwachstellen in anderen, als Schlüsselsysteme bezeichneten, Open-Source-Systemen erweitert werden und die Informationen darüber zentral zur Verfügung stellen.

Stellenmarkt
  1. Mitarbeiter für den IT-Support/DB-Analyst (m/w/d)
    DEUTSCHER GOLF VERBAND e.V., Wiesbaden
  2. IT Security Manager/in (w/m/d)
    Investitionsbank Schleswig-Holstein, Kiel
Detailsuche

Die initiale OSV-Version enthielt laut Google einige Tausend sicherheitsrelevante Schwachstellen aus dem OSS-Fuzz-Projekt. Aufgrund der so gewonnenen Erfahrungen wolle man nun nach einigen Änderungen die Katalogisierung von Schwachstellen deutlich breiter aufstellen.

Zu den Änderungen gehört der Verzicht auf einen API-Key. Google hofft, durch den erleichterten Zugang mehr Nutzer zu gewinnen. Außerdem muss ein Unified-Schema für den Austausch von Schwachstellendaten mit möglichst genauen Informationen geschaffen werden.

Zusammenführung ganz unterschiedlich strukturierter Datensätze

"Wie bei der Open-Source-Entwicklung folgen Schwachstellendatenbanken in Open Source einem verteilten Modell, bei dem viele Ökosysteme und Organisationen ihre eigene Datenbank erstellen", schreibt Google im Securityblogeintrag der Ankündigung. Jedes Projekt habe sein eigenes Format für Schwachstellen, die alle nicht so einfach zusammengeführt werden könnten.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

Das Unified-Schema ist für den Informationsaustausch zwischen unterschiedlichsten Systemen gedacht und wurde mit Hilfe von Hunderten Feedback-Kommentaren erstellt. Das Ziel war, ein Schema zu erschaffen, das sowohl automatisiert verwendet werden kann als auch von Menschen lesbar ist.

Noch ist die Spezifikation des Vulnerability-Schemas nicht fertig, man arbeitet weiter daran und erhofft auch weiteres Feedback aus der Community. Trotzdem wird die jetzige Version auch schon genutzt: Die Go vulnerability database, die Rust advisory database, die Python advisory database und die DWF database exportieren ihre Inhalte bereits in das Format - zusätzlich zu den ursprünglichen OSS-Fuzz vulnerabilities.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Form Energy
Eisen-Luft-Akku soll Energiespeicherprobleme lösen

Mit Geld von Bill Gates und Jeff Bezos sollen große, billige Akkus Strom für mehrere Tage speichern. Kann die Technik liefern, was sie verspricht?
Eine Analyse von Frank Wunderlich-Pfeiffer

Form Energy: Eisen-Luft-Akku soll Energiespeicherprobleme lösen
Artikel
  1. iOS 14.7.1 und macOS Big Sur 11.5.1: Apple patcht aktiv ausgenutzte Mac- und iOS-Sicherheitslücke
    iOS 14.7.1 und macOS Big Sur 11.5.1
    Apple patcht aktiv ausgenutzte Mac- und iOS-Sicherheitslücke

    Apple-Nutzer müssen ihre Geräte mit iOS 14.7.1, iPadOS 14,7.1 und MacOS Big Sur 11.5.1 aktualisieren. Es gibt eine aktiv genutzte Sicherheitslücke.

  2. E-Motorräder: Yamaha will Verbrenner auch in 30 Jahren nicht aufgeben
    E-Motorräder
    Yamaha will Verbrenner auch in 30 Jahren nicht aufgeben

    Yamaha will den Verbrennungsmotor für seine Motorräder nicht ganz aufgeben. Selbst in 30 Jahren soll es noch Maschinen mit Auspuff geben.

  3. Halbleiterfertigung: Aus 10 nm wird Intel 7
    Halbleiterfertigung
    Aus 10 nm wird "Intel 7"

    Intel orientiert sich vorerst an TSMC, will aber dank RibbonFets und PowerVias ab 2025 führend bei der Halbleiterfertigung sein.
    Ein Bericht von Marc Sauter


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 mit Vertrag bei MediaMarkt bestellbar • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung G7 27" QLED Curved WQHD 240Hz 459€ • Kingston Fury 32GB Kit 3200MHz 149,90€ • 3 für 2 bei MM • New World vorbestellbar ab 39,99€ [Werbung]
    •  /