- 会員限定
- 2021/04/02 掲載
グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始
ITジャーナリスト/Publickeyブロガー。大学でUNIXを学び、株式会社アスキーに入社。データベースのテクニカルサポート、月刊アスキーNT編集部 副編集長などを経て1998年退社、フリーランスライターに。2000年、株式会社アットマーク・アイティ設立に参画、オンラインメディア部門の役員として2007年にIPOを実現、2008年に退社。再びフリーランスとして独立し、2009年にブログメディアPublickeyを開始。現在に至る。
オープンソースはクラウド基盤からアプリケーションまで、さまざまな場所で重要な役割を果たすようになってきています。そのため、正確な脆弱性情報の管理もまた重要さを増しています。
OSVにより、オープンソースソフトウェアの開発者やメンテナは手間がかかっていた脆弱性の報告が容易になります。
利用者はオープンソフトウェアの脆弱性がいつ修正されたのかなどの正確な情報を簡単かつ一貫した方法で得られるようになり、利用するソフトウェアの脆弱性の管理と対応を迅速かつ容易にできるようになります。
バグの再現手順を提供すればOSVが自動的にバージョン情報などを探索
Googleによると、OSVに保存される脆弱性情報は徐々に充実させていく予定。まずは、Googleが2016年にオープンソースで公開した脆弱性検出ツール「OSS-Fuzz」によって検出された脆弱性の情報をOSVに保存していきます。
OSVはオープンソースのメンテナによる脆弱性の報告プロセスも簡素化を実現しようとしており、脆弱性のバグが組み込まれたコミットと修正したコミットの情報を提供できない場合、OSVに対して再現テストケースとアプリケーションビルドを生成する手順を提供すれば、OSVが自動化された方法を用いて正確なコミット情報を探索し、確定させるようにします。
OSSの実際のバージョン番号とCVEとをマッピング
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連コンテンツ
PR
PR
PR