IT资讯 Google 启动开源漏洞相关项目 OSV

armand · 2021-02-09 16:30:05 · 热度: 23

此前,本站曾报道了 Google 提出应对开源软件漏洞的框架:”了解,预防,修复” 。在这之后,Google 根据该框架推出了开源漏洞相关项目 OSV(Open Source Vulnerabilities)。

Google 启动开源漏洞相关项目 OSV

OSV 是一个开源项目的漏洞数据库和分类基础设施,旨在帮助开源项目的开发人员和用户应对开源项目漏洞。 对于开发人员,OSV 的自动化功能有助于减轻分类负担,每个漏洞都会经过自动分析,以确定受影响的提交和版本范围。 

Google 启动开源漏洞相关项目 OSV

对于用户来说,OSV 提供了一个 API,用户可以通过该 API  查询某个项目给定提交或版本的漏洞情况。例如,以下命令会返回 JSON 格式的漏洞信息。

curl -X POST -d \
      '{"version": "1.0.0", "package": {"name": "pkg", "ecosystem": "pypi"}' \
      'https://api.osv.dev/v1/query?key=$API_KEY'

目前, OSV 提供对 OSS-Fuzz 集成的 380 多个关键 OSS 项目的漏洞访问,并计划与开源社区合作,扩展各种语言生态系统(如 NPM、PyPI、Go)的数据,制定出项目维护者以最少的工作提交漏洞的渠道。 在理想情况下,漏洞管理会更接近实际的开源开发过程,并借助自动化基础架构进行。关于该项目更多信息,可以前往其官方博客查阅。

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册