ようこそゲストさん

ビジネス+ITを始める
ログイン
FinTech Journal

  • 会員限定
  • 2021/04/02 掲載

グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始

記事をお気に入りリストに登録することができます。
Googleは、オープンソースで開発されているソフトウェアの脆弱性がどのバージョンで生じ、どのバージョンで修正されたかなどの詳細をデータベース化する「OSV」(Open Source Vulnerabilities)プロジェクトの開始を発表しました。

新野淳一(本記事は「Publickey」より転載)

新野淳一(本記事は「Publickey」より転載)

ITジャーナリスト/Publickeyブロガー。大学でUNIXを学び、株式会社アスキーに入社。データベースのテクニカルサポート、月刊アスキーNT編集部 副編集長などを経て1998年退社、フリーランスライターに。2000年、株式会社アットマーク・アイティ設立に参画、オンラインメディア部門の役員として2007年にIPOを実現、2008年に退社。再びフリーランスとして独立し、2009年にブログメディアPublickeyを開始。現在に至る。


<目次>
  1. バグの再現手順を提供すればOSVが自動的にバージョン情報などを探索
  2. OSSの実際のバージョン番号とCVEとをマッピング

画像
OSV

 オープンソースはクラウド基盤からアプリケーションまで、さまざまな場所で重要な役割を果たすようになってきています。そのため、正確な脆弱性情報の管理もまた重要さを増しています。

 OSVにより、オープンソースソフトウェアの開発者やメンテナは手間がかかっていた脆弱性の報告が容易になります。

 利用者はオープンソフトウェアの脆弱性がいつ修正されたのかなどの正確な情報を簡単かつ一貫した方法で得られるようになり、利用するソフトウェアの脆弱性の管理と対応を迅速かつ容易にできるようになります。

バグの再現手順を提供すればOSVが自動的にバージョン情報などを探索

 Googleによると、OSVに保存される脆弱性情報は徐々に充実させていく予定。

 まずは、Googleが2016年にオープンソースで公開した脆弱性検出ツール「OSS-Fuzz」によって検出された脆弱性の情報をOSVに保存していきます。

参考:Google、脆弱性検出のためのファジング(Fuzzing)を機械的に実行する「OSS-Fuzz」、ベータ公開

 OSVはオープンソースのメンテナによる脆弱性の報告プロセスも簡素化を実現しようとしており、脆弱性のバグが組み込まれたコミットと修正したコミットの情報を提供できない場合、OSVに対して再現テストケースとアプリケーションビルドを生成する手順を提供すれば、OSVが自動化された方法を用いて正確なコミット情報を探索し、確定させるようにします。

OSSの実際のバージョン番号とCVEとをマッピング

この続きは会員限定(完全無料)です

ここから先は「ビジネス+IT」会員に登録された方のみ、ご覧いただけます。

今すぐ登録(無料)

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • ここでしか見られない

    1万本超のオリジナル記事が無料で閲覧可能

  • 多角的にニュース理解

    各界の専門家がコメンテーターとして活躍中!

  • スグ役立つ会員特典

    資料、デモ動画などを無料で閲覧可能!セミナーにご招待

  • レコメンド機能

    ​あなたに合わせた記事表示!メールマガジンで新着通知

完全無料 ビジネス+IT会員のメリットとは?

関連タグ

あなたの投稿

関連コンテンツ

記事
オープンソースソフトウェア

既存のオンプレ資産もキッチリ活かす、コンテナ/Kubernetes戦略とは?

もともと開発者を中心に拡大したコンテナ技術は、いまや次世代の企業システムに不可欠な中核技術となりつつある。特に企業レベルでのコンテナ運用管理を実現するKubernetes(クーべネティス/クバネティス)は、世界中のIT企業が開発に参画する重要なプラットフォームとなるソフトウェアだ。とはいえ、オンプレミスに残すべき資産も多い中で、こうしたKubernetesのメリットを最大限に享受するには、どのようなITインフラ基盤を構築すればよいのだろうか。

記事
オープンソースソフトウェア

既存のオンプレ資産もキッチリ活かす、コンテナ/Kubernetes戦略とは?

もともと開発者を中心に拡大したコンテナ技術は、いまや次世代の企業システムに不可欠な中核技術となりつつある。特に企業レベルでのコンテナ運用管理を実現するKubernetes(クーべネティス/クバネティス)は、世界中のIT企業が開発に参画する重要なプラットフォームとなるソフトウェアだ。とはいえ、オンプレミスに残すべき資産も多い中で、こうしたKubernetesのメリットを最大限に享受するには、どのようなITインフラ基盤を構築すればよいのだろうか。

記事
オープンソースソフトウェア

「24時間以内に答えよ」大企業から作者に送られた、OSSをまるで理解していないメール

コマンドラインからさまざまなプロトコルでデータ転送を実行できる「curl」コマンド(以下cURL)は、多くのITエンジニアにとって欠かせない、非常に便利なツールです。cURLはオープンソースで開発されているソフトウェアです。先日その作者であるDaniel Stenberg氏に、某大企業からオープンソースを全く理解していないとみられる大変無礼なメールが届いたとして話題になっています。

記事
オープンソースソフトウェア

コロナと戦うオープンソース、企業は「オープン化」で何を検討すべきか

新型コロナウイルスの感染拡大に対して、さまざまな企業や組織によるオープン化の試みが出てきています。世界的医療機器メーカーのメドトロニックは、人工呼吸器のハードウェアの設計図、組み込みソフトウェアのソースコード、試験方法なども含めて公開を開始しました。自らの開発資産をオープン化した背後には、さまざまな検討や判断があったと推察します。今回は、企業や組織がオープン化する際に通る思考の道筋をひも解いていきます。

PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample