Google释出开源软件漏洞数据库

Google本周释出开源漏洞（open source vulnerability，OSV）数据库，协助开源软件用户及开发人员更快了解漏洞，以及更快找到修补程式。

OSV是Google改善漏洞分类（triage）的第一步，目的在提供漏洞出在哪、怎么修补的精确资料，以便用户受到漏洞影响时可精确判断，并尽速将之修补好。

OSV一开始是由Google的开源模糊测试专案OSS-Fuzz发现到的一组漏洞资料集，最近Google推动改善OSS漏洞管理（Know, Prevent, Fix框架），于是将OSS-Fuzz资料集扩大成OSV专案。

Google安全团队成员Oliver Chang及Kim Lewandowski指出，开源软件（OSS）的漏洞管理不论对使用者或维护人员来说都很麻烦，需要繁琐的手动作业。对使用者来说，碍于现有漏洞标准（Common Platform Enumeration）的版本控制作法，和现实世界的开源版本控制法不一致，漏洞名称（CVE）往往很难比对到用户使用的套件版本，造成漏洞被遗漏掉而影响下游使用者。

另一方面，对OSS维护人员来说，漏洞修补后，要从所有branch中精确决定受影响的版本或commit也相当花时间，而且还要发布。很不幸的是，许多OSS专案，包括一些攸关现代基础架构的OSS专案，其维护人员都面临资源不足及工作过量，根本没时间及心力建立及发布精确、完整的漏洞资讯。

因此OSV希望做到两件事，一是减轻OSS专案维护人员发布漏洞的工作，二是让下游用户更精确查询到漏洞资讯，方法是建立一个容易查询的数据库，以提供用户精准的漏洞metadata，和现有漏洞数据库互补。

OSV借由提供使用者查询漏洞的API，以自动化执行漏洞分类（triage）的流程。大致情境如下：首先，用户输入套件版本或commit hash进行查询，接着OSV就会去寻找影响到某OSS版本的漏洞，再以机器可读的JSON格式回传影响该套件的一组漏洞。拿到这清单后，用户就能根据修补程式的metadata来选择修补程式，或更新到之后的软件版本中。

Google指出，OSV希望改善OSS漏洞追踪系统，使OSS专案可以更快通报并修补漏洞。OSV目前已提供380多个重要OSS专案的数千项漏洞。他们还计划和开源社群合作，以整合多个不同开发语言（如NPM、PyPI）的资料，也想开发简化套件维护员上传漏洞的管道。

OSV专案网站已经上线，相关文件及资源也在GitHub公布。