新野淳一(本記事は「Publickey」より転載)
新野淳一(本記事は「Publickey」より転載)
ITジャーナリスト/Publickeyブロガー。大学でUNIXを学び、株式会社アスキーに入社。データベースのテクニカルサポート、月刊アスキーNT編集部 副編集長などを経て1998年退社、フリーランスライターに。2000年、株式会社アットマーク・アイティ設立に参画、オンラインメディア部門の役員として2007年にIPOを実現、2008年に退社。再びフリーランスとして独立し、2009年にブログメディアPublickeyを開始。現在に至る。
オープンソースはクラウド基盤からアプリケーションまで、さまざまな場所で重要な役割を果たすようになってきています。そのため、正確な脆弱性情報の管理もまた重要さを増しています。
OSVにより、オープンソースソフトウェアの開発者やメンテナは手間がかかっていた脆弱性の報告が容易になります。
利用者はオープンソフトウェアの脆弱性がいつ修正されたのかなどの正確な情報を簡単かつ一貫した方法で得られるようになり、利用するソフトウェアの脆弱性の管理と対応を迅速かつ容易にできるようになります。
バグの再現手順を提供すればOSVが自動的にバージョン情報などを探索
Googleによると、OSVに保存される脆弱性情報は徐々に充実させていく予定。
まずは、Googleが2016年にオープンソースで公開した脆弱性検出ツール「OSS-Fuzz」によって検出された脆弱性の情報をOSVに保存していきます。
OSVはオープンソースのメンテナによる脆弱性の報告プロセスも簡素化を実現しようとしており、脆弱性のバグが組み込まれたコミットと修正したコミットの情報を提供できない場合、OSVに対して再現テストケースとアプリケーションビルドを生成する手順を提供すれば、OSVが自動化された方法を用いて正確なコミット情報を探索し、確定させるようにします。
OSSの実際のバージョン番号とCVEとをマッピング