Google开源漏洞数据库纳入Python、Rust、Go与DWF，企图建立统一的漏洞数据库机制

Google于今年2月发表了开源漏洞（Open Source Vulnerability，OSV）数据库，以提供开源码专案的漏洞资讯，包括漏洞的存在与修补之处，迄今已支援数百种开源专案，本周Google进一步扩充OSV，宣布纳入Python、Rust、Go与DWF等4个大型开源专案，同时推动统一的漏洞数据库机制。

Google说明，OSV的目的之一是协助使用者不需要耗费大量的人力之下，可辨识与回应安全漏洞，因此必须有一个准确且通用的资料格式，来分类与修复漏洞，特别是在相关漏洞可能对相依专案造成风险之际。

图片来源_Google

OSV初期奠基于专门寻找开源码臭虫的OSS-Fuzz，所产生之数千个漏洞的资料集，使它与数百个开源专案的漏洞资料交流，并于本周宣布将扩大到Python、Rust、Go与DWF等大型专案，纳入这4个专案的漏洞数据库，同时也呼应了美国要求改善网络安全的行政命令，此一于今年5月发表的行政命令，呼吁业者应该要确保产品中所使用开源码的完整性与出处。

同时，Google也企图推动一个可精确描述漏洞的统一机制，以方便彼此之间的交流。因为在开源码的发展中，漏洞数据库通常是跟着散布模式，且许多生态体系或组织都拥有自己的数据库，这使得它们都使用自己的格式来描述漏洞，因此，一个采用不同开源专案的客户，就必须各别追踪这些专案的漏洞数据库，也让不同数据库之间的漏洞共享变得更困难。

于是Google携手开源社群与Go团队，打造了一个简单的漏洞互换机制，可用来描述开源生态体系的安全漏洞，企图解决开源社群的漏洞分享问题，以确保版本的规格，必须符合开源码套件生态体系中，所使用的命名与版本控制机制，可用来描述任何开源生态体系中的安全漏洞，而不需仰赖生态体系的逻辑来处理，以及同时适用于自动化与人工。

共通的格式代表不管是漏洞数据库、开源专案使用者或是安全研究人员，都能够跨专案地分享与存取漏洞资讯，Google希望定义出一个允许所有漏洞数据库，都能输出的格式。

目前Google及开源社群正在改善该格式，现已接近正式版，同时Google亦已释出更多的自动化工具以用来维护漏洞数据库，并打算推广相关工具予尚未建立漏洞数据库的开源专案。