开源漏洞,OSV,数据库是一个新的开源,来自Google的项目,超出了CVE跟踪的当前状态。
避免在项目中引入漏洞是什么都不缺乏科学。大多数项目在最终阶段使用SAST扫描,以便找到和修复它们。以这种方式使用的一个伟大的工具是SemGrep,它与语法和语义搜索的正确性相结合了Grep,并且可以被分类为Grep和Sast工具之间的某些东西。对于降低的问题,请查看我的详细文章SEMREP - 不仅仅是一个光荣的Grep。
当然,检查安全漏洞不应该是事后的,而是一个内置于软件中的过程'开发周期。致力于这一事实,Linux基金会成立了开源安全基金会(OpenSSF),目的是教育我们最新的安全最佳实践和漏洞披露。
然后,openssf然后在安全的软件开发基础上推出了三个全新的课程,针对软件开发人员,Devops专业人士,软件工程师,Web应用程序开发人员以及有兴趣了解如何开发安全软件以及如何将安全性视为所要求的一部分一个系统。这包括各种安全设计原则,有助于避免糟糕的设计和拥抱好的,虽然它还讨论了如何解决您的软件供应链。
这些课程专注于即使有限的资源也可以采取的实际步骤。关注"资源有限的资源和#34;那些稀缺的资源,最稀缺的资源项目必须与之住。
但尽管有了所有的帮助,如果斯斯特工具和教学最佳实践可以' t仍然关闭差距,最终产品与无法预料的漏洞发货?这里是在管道末尾的CVE跟踪。静学,因为它来自它,而不是灵丹妙药'自己的袋子问题;主要是为消费者映射到他们所在的包装版本的漏洞进入使用,对于包维护者,除了出版所需的过程之外,还可以耗时地确定受影响的所有分支机构的受影响版本的准确列表,或者在所有分支机构中进行漏洞。
这种在资源和过度劳累下的最开源项目的共鸣,特别是对现代基础设施至关重要的。欧盟赞助了欧盟的替代资金,我在欧盟Bug Bounty - 软件安全作为民事安全。
OSV通过使用精确漏洞元数据扩展它们来补充CVE,使得您更容易查询(使用包版本或提交).Furthertmore它根据清洁漏洞模式描述了错误。
对于osv为值,它需要包维护者提交推出错误和提供修复程序的承诺。例如,检查"在sampled_data_sample&#34中堆积使用的余下; Ghostscript的错误,在OSV-2021-237下编码,在https://osv.dev/vulnerity/osv-2021-237下提供了以下详细信息:提交的哈希呼叫介绍了这一点固定在受影响的版本中。
OSV需要提供再现测试案例和生成应用程序构建的步骤,然后执行双方以在自动时尚中找到这些提交.osv负责保留其余分析以弄清楚的分析(樱桃挑选)和版本/标签。
因此,每个漏洞都会经历自动化的分支和影响分析,以确定精确影响的提交和版本范围。
更进一步,OSV还提供了一个API,用于搜索漏洞,让用户查询是否受到影响。
目前,数据库正在托管有关大约380个关键任务开源项目的信息,包括Google' S模糊测试工具,OSS-Fuzz所识别的漏洞。
支持的项目的完整列表可以在此处找到:https://github.com/google/oss-fuzz/tree/master/projects,但追踪的一些引人注目的人是:
要了解我对我程序员的新文章,请为我们的每周通讯注册,订阅RSS Feed,然后按照我们,推特,Facebook或Linkedin。