- 会員限定
- 2021/04/02 掲載
グーグル、オープンソースの脆弱性をデータベース化する「OSV」プロジェクトを開始
ITジャーナリスト/Publickeyブロガー。大学でUNIXを学び、株式会社アスキーに入社。データベースのテクニカルサポート、月刊アスキーNT編集部 副編集長などを経て1998年退社、フリーランスライターに。2000年、株式会社アットマーク・アイティ設立に参画、オンラインメディア部門の役員として2007年にIPOを実現、2008年に退社。再びフリーランスとして独立し、2009年にブログメディアPublickeyを開始。現在に至る。
オープンソースはクラウド基盤からアプリケーションまで、さまざまな場所で重要な役割を果たすようになってきています。そのため、正確な脆弱性情報の管理もまた重要さを増しています。
OSVにより、オープンソースソフトウェアの開発者やメンテナは手間がかかっていた脆弱性の報告が容易になります。
利用者はオープンソフトウェアの脆弱性がいつ修正されたのかなどの正確な情報を簡単かつ一貫した方法で得られるようになり、利用するソフトウェアの脆弱性の管理と対応を迅速かつ容易にできるようになります。
バグの再現手順を提供すればOSVが自動的にバージョン情報などを探索
Googleによると、OSVに保存される脆弱性情報は徐々に充実させていく予定。まずは、Googleが2016年にオープンソースで公開した脆弱性検出ツール「OSS-Fuzz」によって検出された脆弱性の情報をOSVに保存していきます。
OSVはオープンソースのメンテナによる脆弱性の報告プロセスも簡素化を実現しようとしており、脆弱性のバグが組み込まれたコミットと修正したコミットの情報を提供できない場合、OSVに対して再現テストケースとアプリケーションビルドを生成する手順を提供すれば、OSVが自動化された方法を用いて正確なコミット情報を探索し、確定させるようにします。
OSSの実際のバージョン番号とCVEとをマッピング
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
関連コンテンツ
PR
PR
PR