Google扩展其开源漏洞数据库，包括来自主要开源项目的漏洞数据库，包括Python，Rust，Go和DWF

您的企业在哪里采用AI采用曲线？采取我们的AI调查来了解。

Google今天宣布它已扩展其开源漏洞（OSV）数据库，以使用统一的架构“精确描述漏洞”的统一架构将数据包含在其他开源项目中。

开源软件的好处被广泛理解，但缺乏疑虑的疑虑频率频繁。绝大多数CodeBases包含至少一个已知的开源漏洞，而本周的报告得出结论，更常见的是，开发人员不会在将它们中包含在其软件之后更新第三方库。同样的报告指出，92％的开源库漏洞可以轻松修复，简单更新。

Open Source软件在任何地方都会影响每个人。从小初创公司到主要企业，公司依靠社区驱动的组件在大多数应用程序中。因此，它是每个人的利益，以确保正确维护开源软件。

2月，谷歌推出了开放源漏洞数据库，它为开发人员和其他开源消费者称为“迈向改进漏洞分类的第一步”。漏洞分类是按照他们对使用它的应用程序的风险顺序评估和排序软件组件中已知漏洞的过程。

OSV服务于在首次出现的漏洞以及固定的地方的数据，因此开发人员可以更好地了解它们的影响。在启动时，OSV包括来自“模糊”（用于查找软件编程错误的技术）漏洞的数据，从Google-Led OSS-Fuzz服务中收集，这与数百个开源项目集成。

今天，谷歌正在扩展OSV，包括来自主要开源项目的漏洞数据库，包括Python，Rust，Go和DWF。

从多个开源数据库聚合数据的主要挑战之一是它们通常遵守不同的格式，通常由个别组织唯一创建。这种分布式模型使得统一和描述共同的白话中的漏洞变得更加困难。因此，谷歌与更广泛的开源社区一起工作，一直在努力描述跨人类和自动化工具使用的格式跨开源项目跨开源项目的漏洞。

鉴于协作是开源软件的核心宗旨，扩展OSV以包括其他开源生态系统所需的所有维护者所需的活动参与。

“他们的反馈帮助迭代，改进和概括格式，”谷歌软件工程师奥利弗张告诉Venturebeat。 “格式在稳定状态之后，它们在其现有的漏洞数据集中进行了一些更改以匹配OSV模式格式。这允许在OSV服务中聚合他们的数据集，任何人都可以用于查询其开源依赖性的漏洞。“

谷歌似乎对其开源安全投资的开放式安全投资似乎翻了一番。上周，它提出了一种新的“端到端的供应链完整性框架”，用于软件工件（SLSA）的供应链级别，其将安全认证级别指定为不同的软件包。互联网巨头也是一个名为Sigstore的新型Linux基础项目的创始成员，该项目正在旨在帮助软件开发人员确认软件的起源和真实性。 2月份，谷歌透露它将承保两个Linux内核开发人员的薪水，以帮助提高安全性。

通过Google等待开源社区的进一步反馈，新的漏洞模式规范尚未完成。但是，OSS-Fuzz，Python，Rust，Go和DWF全部都会导出此格式，而OSV将这些漏洞数据库组合成公共门户，也可以通过现有API使用单个命令查询。

VidtureBeat＆＃39; S使命是成为技术决策者的数字城市广场，以获得有关转型技术和Transact的知识。您网站提供有关数据技术和策略的基本信息，以指导您的领导您的组织。我们邀请您成为社区的成员，访问：门控思想领导者内容和对我们奖化事件的折扣访问，如转换2021：了解更多

成为会员