Google 推出新的开源漏洞结构

Google 宣布推出一个新的开源漏洞结构，以解决管理开源漏洞的一些关键问题。

{

"id":string,
"modified":string,
"published":string,
"withdrawn":string,
"aliases":[string],
"related":[string],
"package":{
"ecosystem":string,
"name":string,
"purl":string,
},
"summary":string,
"details":string,
"affects":[{
"ranges":[{
"type":string,
"repo":string,
"introduced":string,
"fixed":string
}],
"versions":[string]
}],
"references":[{
"type":string,
"url":string
}],
"ecosystem_specific":{seespec},
"database_specific":{seespec},
}

今年 2 月，Google 曾推出开源漏洞 (OSV) 数据库， 旨在帮助开源项目的开发人员和用户应对开源项目漏洞和改进漏洞分类。 现在，Google 已经把 OSV 扩展到几个关键的开源生态系统中：Go、Rust、Python 和 DWF，并将这四个重要的漏洞数据库联合并聚合，为软件开发人员提供了一种更好的方式来跟踪和修复影响他们的安全问题。

同时，Google 表示由于各个生态系统和组织都使用自己的格式来描述漏洞，因此跨多个数据库跟踪漏洞的客户端必须完全独立地处理每个漏洞，在数据库之间共享漏洞也很困难。对此，其推出了这个新的开源漏洞结构，该结构有以下特点：

• 强制执行与实际开源包生态系统中使用的命名和版本控制方案精确匹配的版本规范。例如，将 CVE 等漏洞与包管理器中的包名称和版本集进行匹配很难使用现有机制(例如 CPE)以自动化方式进行。
• 可用于描述任何开源生态系统中的漏洞，而不需要依赖生态系统的逻辑来处理它们。
• 易用于自动化系统和人类使用。

Google 表示，其希望通过这个模式定义一种所有漏洞数据库都可以导出的格式。统一格式意味着漏洞数据库、开源用户和安全研究人员可以轻松共享工具并在所有开源中使用漏洞。这意味着每个人都可以更全面地了解开源中的漏洞，以及更轻松的自动化带来的更快检测和修复时间。

目前，该结构已经经历了多次迭代，并且许多公共漏洞数据库已经在导出这种格式，将来还有更多的数据库采用该结构，包括但不限于 Go 漏洞数据库、Rust 咨询数据库以及 Python 咨询数据库。