Google sleutelt aan betere bug-databank speciaal voor open source

Sinds jaar en dag bestaat al de Common Vulnerabilities and Exposures (CSV)-databank die inmiddels al bijna 150.000 records bevat. Toch wilde Google een nieuwe database opzetten, omdat de ervaring leert dat de CVE minder geschikt is voor de versieschema's van opensourceprojecten. Bovendien vindt Google dat CVE niet altijd voldoende metadata bevat om het doorzoeken naar bekende kwetsbaarheden mogelijk te maken. Door de omissies in CSV glippen kwetsbaarheden in open source door de mazen van het net en hebben daardoor nadelige effecten voor de gebruikers van de software waarin opensource-componenten zijn verwerkt.

Een van de nieuwe aspecten van de nieuwe  Open Source Vulnerability (OSV) is de inzet van een techniek genaamd bisection, die de code identificeert verantwoordelijkheid voor de bug identificeert en aangeeft welke verandering nodig is om deze te herstellen. De OSV is te benaderen via een API. Daarmee kunnen  ontwikkelaars en gebruikers van open source snel zoeken naar fouten in de versie van een bepaald project.

Kan nog veel verbeteren

Er is nog sprake van een prille start, constateert The Register, die dook in de bruikbaarheid van de OSV-database. Er zitten 25.000 bugs in afkomstig uit 275 opensourceprojecten. De bron is Googles eigen OSS-Fuz-project, dat was gericht op het vinden van kwetsbaarheden met behulp van fuzzy input. Een van de minpunten van het project nu is dat buiten Google nog niemand records in de database kan toevoegen of aanvullen, ook niet als zij zelf verantwoordelijk zijn voor de code. Het lijkt op een intern project van Google dat toevallig half publiekelijk toegankelijk is, oordeelt The Register. Daarvoor moet wel ingelogd worden met een Google-account op het Google Cloud Platform en een eigen Google Cloud Project worden aangemaakt en ook nog aansluiting worden gezocht met een Google Group. Dat is geen aanmoediging tot brede inzet van de OSV.

Volgens Google wordt wel gewerkt aan een manier zodat project-eigenaren informatie over relevante OSV-kwetsbaarheden kunnen aandragen en aanpassen met behulp van pull-requests, zoals dat gebruikelijk is bij het werken aan opensource-projecten.