Google bertujuan untuk membuat perangkat lunak sumber terbuka (terbuka di tab baru)lebih aman dengan membuat skema terpadu untuk menjelaskan kerentanan keamanan secara lebih akurat.
Kembali pada bulan Februari, raksasa pencarian merilis database Open Source Vulnerabilities (OSV) dengan tujuan mengotomatisasi dan meningkatkan triase kerentanan untuk pengembang dan mereka yang mengandalkan perangkat lunak sumber terbuka.
Upaya awal Google untuk membuat database baru ini terbantu sebagian berkat dimasukkannya kumpulan data yang berisi beberapa ribu kerentanan dari OSS-Fuzz (terbuka di tab baru) proyek. Sejak saat itu, perusahaan telah memanfaatkan umpan balik pengguna untuk membantu meningkatkan proyek dan membuat database dapat diakses oleh lebih banyak pengguna.
Sekarang meskipun Google telah mengumumkan dalam posting blog baru (terbuka di tab baru) bahwa itu akan memperluas OSV dengan penambahan beberapa ekosistem sumber terbuka utama termasuk Go, Rust, Python, dan DWF. Ekspansi baru ini akan menyatukan dan mengumpulkan informasi tentang kerentanan keamanan dari empat database kerentanan untuk memberi pengembang cara yang lebih baik untuk melacak dan memulihkan masalah keamanan.
Basis data Kerentanan Sumber Terbuka
Karena ekosistem dan organisasi yang berbeda telah membuat database terpisah yang menggunakan format mereka sendiri untuk menjelaskan kerentanan open source (terbuka di tab baru)melacak bug dan kelemahan keamanan di beberapa basis data bisa jadi sulit dan membosankan.
Untuk alasan ini tim Keamanan Sumber Terbuka Google, tim Go, dan komunitas sumber terbuka yang lebih luas telah bekerja untuk mengembangkan skema pertukaran kerentanan sederhana yang dirancang untuk menggambarkan kerentanan.
Sebagai bagian dari pekerjaan ini, skema kerentanan baru bertujuan untuk mengatasi beberapa masalah utama dalam mengelola kerentanan dalam proyek sumber terbuka seperti menegakkan spesifikasi versi yang secara tepat cocok dengan skema penamaan dan pembuatan versi dalam ekosistem paket sumber terbuka yang sebenarnya. Skema juga harus dapat digunakan untuk menggambarkan kerentanan dalam ekosistem sumber terbuka apa pun, sementara juga mudah digunakan oleh sistem otomatis dan manusia.
Spesifikasi skema kerentanan sekarang telah melalui beberapa iterasi dan kemungkinan akan memakan waktu sebelum tim Google dapat menyelesaikannya.
Namun, pengembang dan pendukung perangkat lunak open source kini dapat mengakses database kerentanan Go (terbuka di tab baru)Basis data penasehat karat (terbuka di tab baru)basis data penasehat Python (terbuka di tab baru)basis data DWF (terbuka di tab baru) untuk kerentanan di kernel Linux (terbuka di tab baru) dan perangkat lunak populer lainnya serta database OSS-Fuzz (terbuka di tab baru) untuk kerentanan di C/C++.
