Saltar al contenido
computerg

馃 Google Quiere Crear Un Vocabulario Est谩ndar Para Describir Las Vulnerabilidades De Seguridad.

junio 25, 2021

Google tiene como objetivo proteger a煤n m谩s el software de c贸digo abierto mediante la creaci贸n de un esquema unificado para describir con mayor precisi贸n las vulnerabilidades de seguridad.

En febrero, el gigante de las b煤squedas lanz贸 la base de datos de vulnerabilidades de c贸digo abierto (OSV) con el objetivo de automatizar y mejorar la clasificaci贸n de vulnerabilidades para los desarrolladores y aquellos que dependen del software de c贸digo abierto.

El esfuerzo inicial de Google para crear esta nueva base de datos fue ayudado en parte por la inclusi贸n de un conjunto de datos que contiene varios miles de vulnerabilidades del proyecto OSS-Fuzz. Desde entonces, la compa帽铆a ha aprovechado los comentarios de los usuarios para ayudar a mejorar el proyecto y hacer que la base de datos sea accesible para a煤n m谩s usuarios.

Ahora, Google ha anunciado en una nueva publicaci贸n de blog que extender谩 OSV con la adici贸n de varios ecosistemas clave de c贸digo abierto, incluidos Go, Rust, Python y DWF. Esta nueva extensi贸n reunir谩 y agregar谩 informaci贸n sobre vulnerabilidades de seguridad de cuatro bases de datos de vulnerabilidades para proporcionar a los desarrolladores una mejor manera de rastrear y resolver problemas de seguridad.

Base de datos de vulnerabilidades de c贸digo abierto

Dado que diferentes ecosistemas y organizaciones han creado bases de datos independientes que utilizan su propio formato para describir las vulnerabilidades de c贸digo abierto, el seguimiento de los errores de seguridad y las vulnerabilidades en varias bases de datos puede resultar dif铆cil y llevar mucho tiempo.

Por esta raz贸n, el equipo de seguridad de c贸digo abierto de Google, el equipo de Go y la comunidad de c贸digo abierto en general han trabajado para desarrollar un esquema de intercambio de vulnerabilidades simple dise帽ado para describir las vulnerabilidades.

Como parte de este trabajo, el nuevo esquema de vulnerabilidades tiene como objetivo abordar algunos problemas clave relacionados con la gesti贸n de vulnerabilidades en proyectos de c贸digo abierto, como la aplicaci贸n de especificaciones de versi贸n que coincidan con precisi贸n con los esquemas de nomenclatura y gesti贸n de versiones en ecosistemas de paquetes de c贸digo abierto reales. El diagrama tambi茅n deber铆a poder usarse para describir vulnerabilidades en cualquier ecosistema de c贸digo abierto y, al mismo tiempo, ser f谩cil de usar tanto para los sistemas automatizados como para las personas.

La especificaci贸n del esquema de vulnerabilidad ahora ha pasado por varias iteraciones y probablemente pasar谩 alg煤n tiempo antes de que los equipos de Google puedan finalizarla.

Sin embargo, los desarrolladores y defensores de software de c贸digo abierto ahora pueden acceder a la base de datos de vulnerabilidad Go, la base de datos de asesoramiento Rust, la base de datos de asesoramiento de Python, la base de datos de vulnerabilidad DWF. El kernel de Linux y otro software popular, as铆 como la base de datos OSS-Fuzz para vulnerabilidades en C / C ++. . .


Source link