Google представила новый сервис для поиска уязвимостей в открытом ПО

Google представила новый сервис для поиска уязвимостей в открытом ПО

18.02.2021     

Компания Google запустила платформу с открытым исходным кодом OSV (Open Source Vulnerabilities). Она создана для поиска и закрытия уязвимостей в свободном ПО.

Знай, предотвращай, исправляй

В 2016 году Google запустила проект OSS-Fuzz. Это система автоматизированного фаззинг-тестирования, которая позволяет подавать на вход модели неожиданные, случайные или заведомо некорректные данные.

В OSS-Fuzz компания впервые реализовала концепцию «Знай, предотвращай, исправляй». В системе протестировали более 380 проектов с открытым исходным кодом, написанных на C и C++. Часть данных об уязвимостях OSS-Fuzz легла в основу OSV.

Проект для фаззингового тестирования есть и у Microsoft.

Суть проекта OSV

OSV — это актуальная база описанных уязвимостей в программных продуктах и компонентах с открытым исходным кодом. Через API сервиса вы можете автоматизировать процесс создания запросов о потенциальных уязвимостях.

В ответах будет указана версия репозитория с кодом. Таким образом, один и тот же запрос, сделанный в разное время, может дать разные результаты.

Разработчики пояснили: чтобы эффективно решать проблемы, каждой уязвимости в свободном ПО присваивается уникальный OSV-идентификаторы. Также в базе указывается расширенная информация: диапазон версий, в которых присутствует уязвимость, статус ее исправления, коммиты, которые решают проблему, ссылки на репозитории.

Если уязвимость занесена в систему, но нельзя точно сказать, в какой версии она появилась, OSV запрашивает тестовые данные и список шагов для воспроизведения. Затем система в автоматическом режиме сканирует код и находит коммиты, которые могли привести к проблеме.

Зачем нужна OSV

Пользователи открытого ПО часто не могут сопоставить CVE-записи об уязвимостях (Common Vulnerabilities and Exposures) с версиями пакетов. Это происходит из-за того, что схемы управления версиями в существующих стандартах, например, в CPE (Common Platform Enumeration), не соответствуют данным в популярных системах контроля версий (Git, Subversion и др.). Здесь обычно указываются либо номера версий и теги, либо хэши фиксации уязвимостей. В результате пользователи могут лишиться данных или получить неожиданные побочные эффекты от используемых компонентов.

Благодаря новой платформе разработчики, которые занимаются поддержкой проектов с открытым исходным кодом, будут раньше узнавать об уязвимостях и эффективнее закрывать их. Если программист увидит, что проблема есть, но ею уже кто-то занимается, то он сможет сосредоточиться на других задачах.

 

 

Автоматизация работы с уязвимостями должна повысить качество открытого ПО и избавить разработчиков от существенной части рутинной работы и ручных проверок.

Кроме того, пользователи будут видеть, какие версии затрагивает уязвимость. Соответственно, они смогут либо откатиться до предыдущих состояний репозитория, либо обновить ПО до версий, в которых проблема уже решена — в зависимости от состояния проекта.



Источник: https://infostart.ru/journal/news/tekhnologii/google-predstavila-novyy-servis-dlya-poiska-uyazvimostey-v-otkrytom-po_1388104/
Автор:
Ксения Шестакова Обозреватель


В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

Российские компании создадут космический дата-центр на орбите

Новость Дата-центры ИТ-новость Новости компаний

Компании RuVDS и Orbital Express договорились принять участие в совместном проекте по запуску орбитального центра обработки данных. Сервер в открытый космос будет доставлен на отечественной ракете «Союз».

вчера в 13:47    1010    VKuser24342747    0       

Бизнес отделяет ИТ-структуры ради налоговых льгот

Новость ИТ-новость Налоги Новости компаний

С 1 января 2021 года в РФ вступил в силу налоговый маневр, который обеспечивает льготы для ИТ-отрасли. Чтобы воспользоваться ими, крупные корпорации стали переформатировать свои ИТ-подразделения в отдельные компании.

вчера в 11:37    984    user1015646    0       

Михаил Мишустин предложил создать стартап-школы при российских вузах

Новость ИТ-новость Стартапы Цифровая экономика

Премьер-министр Михаил Мишустин посетил Московский авиационный институт. Отвечая на вопрос одного из студентов, председатель правительства заявил о необходимости создания школ стартапов.

19.04.2021    1514    VKuser24342747    4       

В сервис для управления проектами Asana добавили русский язык

Новость ИТ-новость Управление проектами

Облачный сервис для управления задачами и проектами обзавелся русскоязычным интерфейсом. Также разработчики представили версии на китайском, голландском и польском языках.

19.04.2021    1892    user1015646    0       

У Google Docs появился российский конкурент

Новость Интернет ИТ-новость

Разработчики офисного пакета «Мой офис» представили бесплатные версии текстового редактора и электронных таблиц. Пользоваться ими можно прямо в браузере.

16.04.2021    1653    user1015646    3       

Microsoft планирует вносить свой вклад в экосистему Java

Новость ИТ-новость

Американская компания представила тестовый бесплатный дистрибутив OpenJDK с открытым исходным кодом. В скором времени ИТ-гигант обещает представить релизную версию продукта.

16.04.2021    946    VKuser24342747    0       

Google Database Migration Service стал доступен для всех

Новость MySQL PostgreSQL Google Интеграция Интернет ИТ-новость

Компания Google открыла всем пользователям бесплатный доступ к сервису Database Migration Service. Это позволит компаниям провести миграцию своих баз из MySQL. PostgreSQL и других платформ в облако Cloud SQL без выделения дополнительных ресурсов.

15.04.2021    3790    user1015646    0       

Российские разработчики представили бесплатный онлайн-редактор кода

Новость Mail.Ru ИТ-новость

Компания Mail.Ru запустила онлайн-сервис для совместной работы с кодом на базе платформы All Cups. Он поддерживает Python, C++, Java и еще шесть популярных языков программирования.

14.04.2021    1761    user1015646    5       

Rust станет одним из основных языков разработки Android

Новость Android ИТ-новость Мобильные приложения Языки программирования

С целью уменьшения количества ошибок, связанных с безопасностью памяти, Google объявил, что Android будет поддерживать Rust в низкоуровневом системном коде ОС. Об этом 6 апреля сообщили члены команды разработчиков Android в блоге Google Security.

14.04.2021    1464    SKravchenko    3       

Минпромторг готов выделять по 500 млн рублей в год на разработку ИИ

Новость Искусственный интеллект ИТ-новость Минпромторг Цифровая экономика

Минпромторг подготовил проект постановления для поддержки разработчиков решений на базе ИИ. Компании смогут получить до 3 млрд рублей на пять лет, по 500 млн каждый год.

13.04.2021    964    VKuser24342747    2       

ARM представила новую процессорную архитектуру v9

Новость ИТ-новость Микроэлектроника

Компания ARM разработала инновационную процессорную архитектуру v9. Она обладает масштабным потенциалом и будет использоваться для систем искусственного интеллекта и безопасности, мобильных устройств и специализированных вычислений.

12.04.2021    1082    user1015646    0       

Microsoft разделит ключевые компоненты Windows

Новость Windows ИТ-новость

Модули Windows 10 становятся всё более независимыми. Меню «Пуск» стало отдельным компонентом около двух лет назад. Теперь пришёл черёд отделить панель задач – это должно исправить проблему с зависаниями системы.

09.04.2021    3966    user1015646    0       

Правительство начнет регулировать цифровые экосистемы

Новость Импортозамещение ИТ-новость Новости компаний Цифровая экономика

Правительство готовит концепцию регулирования для быстро развивающихся цифровых экосистем, таких как Сбер, Яндекс, Тинькофф и других. Цель – повысить конкурентоспособность экосистем за рубежом.

08.04.2021    7464    mouse187    1       

Ремонтировать технику Apple в России станет проще

Новость iOS ИТ-новость Новости компаний

Компания Apple расширила программу независимого ремонта своей техники. В список стран, где она теперь доступна, попала и Россия.

08.04.2021    9036    user1015646    0       

Треть пользователей готова избавиться от предустановленного отечественного ПО

Новость Импортозамещение ИТ-новость Мобильные приложения

Компания ESET провела опрос, в котором 29% респондентов заявили о своем желании удалить предустановленные российские приложения со смартфонов, ноутбуков и телевизоров.

07.04.2021    2338    VKuser24342747    2       

Google начала тестировать FLoC – технологию-убийцу cookies в Chrome

Новость Google Безопасность Интернет ИТ-новость

Google продолжает разрабатывать альтернативу cookie-файлам. Поисковый гигант уже приступил к тестированию технологии, позволяющей хранить данные о пользователе браузера в обезличенном виде.

06.04.2021    5711    VKuser24342747    0       

В России пройдет закрытое тестирование электронной почты с кириллицей в адресах

Новость Импортозамещение Интернет ИТ-новость

Проект поддержки доменных имен на национальных языках и регистратор доменных имен начали проект по тестированию работы электронной почты с кириллице в адресах.

02.04.2021    2327    Senator_I    1       

Crystal – простой, как Ruby, и «быстрый», как C

Новость ИТ-новость Языки программирования

Вышел первый стабильный релиз языка Crystal. Синтаксис Crystal схож с Ruby, что делает язык легким для чтения и записи и снижает кривую обучения для опытных разработчиков.

02.04.2021    2920    SKravchenko    1       

Платежная система Visa разрешит платежи в криптовалюте

Новость Безопасность Блокчейн ИТ-новость Онлайн-торговля

Крупнейшие поставщики платежных услуг для банковских карт выходят на криптовалютный рынок. Visa вслед за Mastercard сообщила, что начнет поддерживать транзакции в цифровых токенах.

02.04.2021    2257    VKuser24342747    1       

Samsung стала предустанавливать на смартфоны неудаляемые приложения. Яндекс против

Новость Импортозамещение ИТ-новость Мобильные приложения Новости компаний Яндекс

С 1 апреля в России вступает в силу закон об обязательной предустановке отечественных приложений. Samsung стала инсталлировать ПО Яндекса на свои устройства без возможности удаления. Российский ИТ-гигант призвал производителя не делать этого.

01.04.2021    2587    user1015646    0       

Линус Торвальдс рассказал о том, где Rust впишется в Linux

Новость Linux ИТ-новость Языки программирования

Медленно, но верно язык Rust проникает в Linux. Линус Торвальдс и Грег Кроа-Хартман поделились своим мнением насчет перспектив Rust в Linux.

31.03.2021    2565    SKravchenko    0       

В России создали невидимые этикетки

Новость ИТ-новость

Специалисты из Университета ИТМО и Санкт-Петербургского академического университета представили новую технологию создания этикеток. Она призвана защитить рынок от распространения контрафакта.

30.03.2021    1438    user1015646    8       

Google и Microsoft начали совместную работу над совместимостью браузеров

Новость Google Интернет ИТ-новость Новости компаний

Компании Google, Microsoft и Igalia объявили о запуске совместного проекта Compat2021. С его помощью будет улучшена совместимость браузеров Chrome, Edge, Firefox и Safari.

30.03.2021    1578    VKuser24342747    0       

Представлен Windows Community Toolkit v7.0: что нового

Новость ИТ-новость Новости компаний Языки программирования

Компания Microsoft выпустила новую версию Windows Community Toolkit v7.0. Это коллекция расширений, инструментов помощи и настраиваемых кнопок для разработки UWP- и .NET-приложения для Windows 10.

29.03.2021    7965    user1015646    1       

Google Chrome начнет автоматически добавлять https:// ко всем веб-адресам

Новость Google Безопасность Интернет ИТ-новость

В новой версии браузера Google Chrome будет отключен редирект с http:// на https://. Веб-обозреватель будет сразу загружать сайт через защищенный протокол, уже ставший стандартом.

29.03.2021    3324    VKuser24342747    0