Google ha annunciato un nuovo progetto indirizzato agli sviluppatori di software open source che permette di semplificare la classificazione delle vulnerabilità. Il database di OSV (Open Source Vulnerabilities) offrirà anche agli utenti la possibilità di identificare velocemente le versioni delle applicazioni che devono essere aggiornate al più presto.
OSV: classificazione più chiara dei bug
Le vulnerabilità sono attualmente identificate tramite numeri CVE (Common Vulnerabilities and Exposures), ma gli utenti non sono in grado di associarli alla corretta versione del software, quindi non installano gli aggiornamenti. Allo stesso modo, molti sviluppatori non hanno risorse per tenere aggiornata la lista delle vulnerabilità per ogni versione del software.
L’obiettivo di OSV è dunque ridurre il lavoro per gli sviluppatori e semplificare la ricerca dei bug per gli utenti. La prima versione di OSV prevede la raccolta automatica delle vulnerabilità di oltre 380 progetti open source che sfruttano OSS-Fuzz (il fuzzing è una delle tecniche più utilizzate per individuare gli errori di programmazione). Il software invia una richiesta (query) a OSV con la versione del package come input. OSV cerca eventuali vulnerabilità e restituisce il risultato in formato JSON. Il software usa quindi l’informazione per installare la versione successiva.
Google ritiene che i software open source devono essere aggiornati rapidamente in caso di vulnerabilità, come avviene per i software proprietari (che ovviamente dispongono di maggiori risorse economiche). Il database dei bug può essere consultato sul sito ufficiale. Ulteriori miglioramenti sono previsti nel corso dei prossimi mesi.