Google представила новый сервис для поиска уязвимостей в открытом ПО

Google представила новый сервис для поиска уязвимостей в открытом ПО

18.02.2021     

Компания Google запустила платформу с открытым исходным кодом OSV (Open Source Vulnerabilities). Она создана для поиска и закрытия уязвимостей в свободном ПО.

Знай, предотвращай, исправляй

В 2016 году Google запустила проект OSS-Fuzz. Это система автоматизированного фаззинг-тестирования, которая позволяет подавать на вход модели неожиданные, случайные или заведомо некорректные данные.

В OSS-Fuzz компания впервые реализовала концепцию «Знай, предотвращай, исправляй». В системе протестировали более 380 проектов с открытым исходным кодом, написанных на C и C++. Часть данных об уязвимостях OSS-Fuzz легла в основу OSV.

Проект для фаззингового тестирования есть и у Microsoft.

Суть проекта OSV

OSV — это актуальная база описанных уязвимостей в программных продуктах и компонентах с открытым исходным кодом. Через API сервиса вы можете автоматизировать процесс создания запросов о потенциальных уязвимостях.

В ответах будет указана версия репозитория с кодом. Таким образом, один и тот же запрос, сделанный в разное время, может дать разные результаты.

Разработчики пояснили: чтобы эффективно решать проблемы, каждой уязвимости в свободном ПО присваивается уникальный OSV-идентификаторы. Также в базе указывается расширенная информация: диапазон версий, в которых присутствует уязвимость, статус ее исправления, коммиты, которые решают проблему, ссылки на репозитории.

Если уязвимость занесена в систему, но нельзя точно сказать, в какой версии она появилась, OSV запрашивает тестовые данные и список шагов для воспроизведения. Затем система в автоматическом режиме сканирует код и находит коммиты, которые могли привести к проблеме.

Зачем нужна OSV

Пользователи открытого ПО часто не могут сопоставить CVE-записи об уязвимостях (Common Vulnerabilities and Exposures) с версиями пакетов. Это происходит из-за того, что схемы управления версиями в существующих стандартах, например, в CPE (Common Platform Enumeration), не соответствуют данным в популярных системах контроля версий (Git, Subversion и др.). Здесь обычно указываются либо номера версий и теги, либо хэши фиксации уязвимостей. В результате пользователи могут лишиться данных или получить неожиданные побочные эффекты от используемых компонентов.

Благодаря новой платформе разработчики, которые занимаются поддержкой проектов с открытым исходным кодом, будут раньше узнавать об уязвимостях и эффективнее закрывать их. Если программист увидит, что проблема есть, но ею уже кто-то занимается, то он сможет сосредоточиться на других задачах.

 

 

Автоматизация работы с уязвимостями должна повысить качество открытого ПО и избавить разработчиков от существенной части рутинной работы и ручных проверок.

Кроме того, пользователи будут видеть, какие версии затрагивает уязвимость. Соответственно, они смогут либо откатиться до предыдущих состояний репозитория, либо обновить ПО до версий, в которых проблема уже решена — в зависимости от состояния проекта.



Источник: https://infostart.ru/journal/news/tekhnologii/google-predstavila-novyy-servis-dlya-poiska-uyazvimostey-v-otkrytom-po_1388104/
Автор:
Ксения Шестакова Обозреватель


В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

JetBrains представила масштабное обновление Kotlin до версии 1.5

Новость ИТ-новость Языки программирования

Компания JetBrains рассказала о грядущем крупном обновлении Kotlin в 2021 году. Язык программирования получит версию 1.5, в которую войдет поддержка sealed-интерфейсов, inline-классов и IR-компилятора для JVM.

сегодня в 15:50    816    VKuser24342747    0       

Microsoft представила инструменты для защиты искусственного интеллекта от взлома

Новость Искусственный интеллект ИТ-новость

Microsoft разработала решение для защиты систем машинного обучения от взлома. Counterfit позволяет моделировать атаки на искусственный интеллект и оценивать уровень безопасности таких проектов.

сегодня в 13:28    1829    user1015646    0       

Российский блогер протестировал ПК с процессором Baikal-M

Новость ИТ-новость Микроэлектроника

Компьютер на базе процессора Baikal не найдешь в обычном магазине электроники. Но интересно, что умеет такая техника и подойдет ли она для решения повседневных задач. Блогер Сергей Вильянов протестировал такой ПК и поделился впечатлениями.

14.05.2021    3123    user1015646    5       

Популярный фреймворк для веб-разработки Bootstrap обновлен до пятой версии

Новость Интернет Интерфейсы ИТ-новость

Фреймворк для разработки сайтов и веб-приложений Bootstrap получил крупное обновление. В пятой версии улучшена работа с формами, доработана документация, добавлена кастомизация CSS.

14.05.2021    1364    VKuser24342747    0       

Microsoft запатентовала биометрический инструмент для анализа здоровья работников

Новость Искусственный интеллект ИТ-новость

Microsoft подала патент на «компьютерный метод» предоставления рекомендаций по здоровью. Патент включает анализ биометрических данных для определения стресса и беспокойства.

14.05.2021    2049    SKravchenko    2       

Минюст создаст чат-бота для бесплатных юридических консультаций

Новость Искусственный интеллект ИТ-новость Цифровая экономика

«Цифровой юрист» – один из самых масштабных проектов ведомства. На реализацию проекта планируют потратить 230 млн рублей.

14.05.2021    1343    user1015646    0       

Flash Player удалят из Windows 10 в июле

Новость Windows Безопасность Интернет ИТ-новость

Компания Microsoft рассказала, когда Windows 10 окончательно попрощается с Adobe Flash Player. Обновление, которое автоматически удалит ПО из системы, выйдет этим летом.

13.05.2021    4066    user1015646    0       

Полностью цифровые медкарты: первые впечатления от эксперимента

Новость ИТ-новость Цифровая экономика

В России начался эксперимент по переводу медицинских карт пациентов в электронный вид. От бумажных документов полностью отказались в двух детских поликлиниках Москвы.

12.05.2021    3864    VKuser24342747    4       

Минцифры начнет подготовку кадров для цифровой экономики

Новость ИТ-новость Минкомсвязь Цифровая экономика

Минцифры совместно с «Университетом Иннополис» объединила сотни российских учебных заведений в консорциум, который подготовит кадры для цифровой экономики.

12.05.2021    3542    VKuser24342747    5       

GitHub начал поддерживать использование ключей безопасности SSH

Новость git GitHub Безопасность ИТ-новость

Пользователи GitHub смогут подтверждать вход в аккаунт при помощи портативных устройств, которые используют протокол FIDO2. Репозиторий предлагает всем разработчикам перейти на такой метод аутентификации.

12.05.2021    3368    VKuser24342747    0       

Топ языков программирования с самым большим сообществом разработчиков

Новость Аналитика ИТ-новость Языки программирования

Аналитики британской фирмы SlashData, изучающей сообщества разработчиков, выпустили ежегодный отчёт State of the Developer Nation, в котором описывают аудиторию 14 популярных языков программирования.

07.05.2021    2752    SKravchenko    7       

Кроссплатформенный эмулятор запустил старые Windows-программы в браузере

Новость Интернет ИТ-новость

Разработан бесплатный эмулятор для запуска классических приложений Windows на большинстве популярных операционных систем. Программа также доступна в качестве веб-версии с ограниченным числом приложений.

05.05.2021    3202    VKuser24342747    0       

Apple обязала разработчиков использовать новый фреймворк AppTrackingTransparency

Новость iOS ИТ-новость Мобильные приложения

Компания Apple выпустила серию обновлений для разработчиков приложений. Требования, связанные с переходом на iOS 14.5, предполагают использование фреймворка AppTrackingTransparency для повышения прозрачности сбора пользовательских данных.

05.05.2021    2037    user1015646    0       

Теперь в Docker и в Linux: расширилась поддержка процессоров Apple M1

Новость Linux ИТ-новость

Ядро Linux получило начальную поддержку процессоров M1 производства Apple. Инструмент для развертывания и работы с контейнерами Docker также научился работать с ними.

04.05.2021    4281    user1015646    0       

Ctrl+C, Ctrl+V: эксперты подсчитали, насколько часто разработчики копируют чужой код

Новость Аналитика ИТ-новость Языки программирования

Популярный форум для разработчиков Stack Overflow в течение двух недель собирал статистику нажатий Ctrl+C или Command+C при копировании кода и других ответов. Но то, что задумывалось как первоапрельская шутка, стало в итоге серьёзным исследованием.

04.05.2021    2092    user1015646    0       

Олдскульный Yayagram: разработчик создал для бабушки гаджет для общения в Telegram

Новость ИТ-новость Мессенджеры

Когда интернет еще не изобрели, абонентов соединяли телефонистки, переключая кабели в нужные гнезда. Разработчик Мануэль Лусио Далло вдохновился этим примером и создал для своей 96-летней бабушки гаджет для общения с родными в Telegram.

30.04.2021    4050    user1015646    3       

Квантовая сеть между Москвой и Петербургом заработает во втором квартале 2021 года

Новость ИТ-новость Телекоммуникации

«Транстелеком», дочерняя компания РЖД, завершила строительство квантовой сети между Москвой и Санкт-Петербургом. После запуска проект можно будет использовать для защищенного обмена данными.

30.04.2021    3173    VKuser24342747    0       

Chrome 90 позволит делиться ссылками на фрагмент текста

Новость Интернет ИТ-новость

Google представила новую функцию для Chrome 90, которая позволит создавать ссылку на выделенную часть текста на странице в браузере.

30.04.2021    2303    SKravchenko    2       

Минцифры требует обеспечить возможность удаления предустановленных российских приложений

Новость Законодательство Импортозамещение ИТ-новость Минкомсвязь Мобильные приложения

Минцифры готовит поправки к закону об обязательной предустановке ПО, которые обяжут производителей устройств обеспечить возможность полностью удалить программы.

28.04.2021    3130    VKuser24342747    1       

Ubuntu 21.04 обеспечит интегрированную поддержку Microsoft SQL Server и Active Directory

Новость Ubuntu MS SQL ИТ-новость

Компания Canonical представила Ubuntu 21.04, которая получила название «Hirsute Hippo». Релиз содержит интеграцию с Microsoft Active Directory, SDK для разработки приложений Flutter и поддерживает локальную работу Microsoft SQL Server.

28.04.2021    4000    capitan    1       

Доступна тестовая версия дистрибутива Linux, внешне похожего на Windows 10X

Новость Linux ИТ-новость

Команда разработчиков операционной системы Zorin OS представила бета-версию Zorin OS 16. Ирландский дистрибутив Linux объединяет Flatpak, Snap Store и репозиторий Ubuntu. Он имитирует внешний вид Windows 10X, сохраняя при этом функциональность Linux.

27.04.2021    4425    SKravchenko    1       

«Яндекс» представил веб-приложение для работы с текстом и таблицами

Новость ИТ-новость Новости компаний Облачные технологии Яндекс

«Яндекс» запустил сервис «Документы» для создания и редактирования текстовых файлов, таблиц и презентаций в облаке. Услуга входит в состав набора офисных решений «Яндекс 360».

27.04.2021    5435    VKuser24342747    2       

Искусственный интеллект научился находить проблемы в коде

Новость Искусственный интеллект ИТ-новость

Исследователи из МТИ разработали систему глубокого машинного обучения для поиска проблем в коде ПО. Она станет основой инструментов автоматического анализа, которые помогут найти и устранить слабые места в IDE для создания программ.

27.04.2021    4104    user1015646    3       

Microsoft разрешит сторонние платежные системы в своем магазине

Новость Windows ИТ-новость Новости компаний Онлайн-торговля

Microsoft готовит перезапуск собственного магазина приложений Microsoft Store. Релиз будет представлен вместе со следующим крупным обновлением Windows и сделает требования для программ в маркетплейсе мягче.

26.04.2021    2374    VKuser24342747    0       

В Windows 10 появилась поддержка Linux-приложений с графическим интерфейсом

Новость Windows Linux ИТ-новость

Microsoft добавит возможность запускать в Windows 10 приложения для Linux с графическим интерфейсом. Опробовать новую функцию можно уже сейчас, используя тестовую сборку ОС.

26.04.2021    5060    VKuser24342747    2