主页保安Google:新工具可轻松检测开源错误

Google:新工具可轻松检测开源错误

该网站 开源漏洞(OSV) 由...制作 谷歌,提供了一个数据库 漏洞,旨在帮助修复开源项目中的错误,并帮助维护人员和开源使用者。

Google声称 用户 开源软件很难映射一个 漏洞 在它们使用的软件包版本中,因为现有漏洞模板中的版本方案与实际的开源版本方案不正确匹配。 ”结果是丢失了影响下游消费者的漏洞”,警告。

Google已经授予开源项目,以将它们从有问题的C语言迁移到安全的Rust编程语言。 上周,它还为开源社区提出了一个框架,以决定哪些项目应被视为“关键”项目,并制定更严格的规则。 开发商 为这些项目做出贡献。

OSV旨在解决创作方面的问题 错误 最近通过自动化发现的。

对于开放源代码维护者,OSV自动化有助于减轻测试的负担。 对每个漏洞进行自动分叉和影响分析,以确定受影响的特定系列承诺和版本笔记 该谷歌。

我们计划与开源社区合作以扩大规模 数据 来自各种语言生态系统(例如NPM,PyPI)的数据,并处理一条管道,以便数据包维护者以最小的努力报告漏洞。

虫子

Google的努力反映了其开源安全计划 微软 通过 GitHub上 旨在通过Microsoft Teams等工具加快恢复速度。

Google表示,OSV旨在提供有关“发生漏洞的位置和已修复的位置,从而帮助开放源代码消费者准确识别其是否受到影响,然后尽快进行安全修复。

当前,此流包含来自 OSS模糊BOT 创建用于检测开源软件是否存在错误。 OSV提交的大多数错误都来自C和C ++代码。

OSS-Fuzz是一项成功的Google程序,可帮助发现基本开源项目中的数千个错误。

没有米娅https://www.secnews.gr
在一个不断尝试改变你的世界里,做你自己,是你最大的成就
spot_img

实时新闻