提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

商业作者和专家，H。詹姆斯·哈林顿曾经说过：“如果你不能测量某件东西，你就不能理解它。如果你不能理解它，你就无法控制它。如果你不能控制它，你就不能改善它。”他是对的。谷歌正遵循这一建议，引入了一种新的方法来加强开源安全性，即引入一种漏洞交换模式来描述开源生态系统中的漏洞。

这一点非常重要。一个低级问题是有许多安全漏洞数据库，没有标准的交换格式。如果要聚合来自多个数据库的信息，则必须完全独立地处理每个数据库。那真是浪费时间和精力。至少您必须为每种数据库格式创建解析器来合并它们的数据。所有这些都使得系统化地跟踪漏洞数据库之间的依赖关系和协作变得更加困难。 

因此，Google建立在开源漏洞（OSV）数据库和OSS Fuzz安全漏洞数据集的基础上。Google开源安全团队、Go团队和更广泛的开源社区都帮助创建了这个简单的漏洞交换模式。在处理模式时，他们可以为数百个关键的开源项目传递精确的漏洞数据。 

现在OSV和模式已经扩展到几个新的关键开源生态系统： 加油，铁锈，蟒蛇，还有DWF。此扩展将统一并聚合其漏洞数据库。这为开发人员提供了更好的方法来跟踪和修复他们的安全问题。 

这个新的漏洞模式旨在解决管理开源漏洞的一些关键问题。信息技术： 

强制执行与实际开源软件包生态系统中使用的命名和版本控制方案精确匹配的版本规范。例如，匹配漏洞，例如 在包管理器中，很难使用现有机制（如 CPEs公司。 可以描述任何开源生态系统中的漏洞，而不需要依赖于生态系统的逻辑来处理它们。 很容易被自动化系统和人类使用。

简而言之，正如谷歌开源安全团队经理Abhishek Arya在规范手稿中所说，“目的是创建一个简单的模式格式，其中包含精确的漏洞元数据，修复缺陷所需的必要细节对资源受限的开放源码生态系统来说是一个低负担。”

希望通过这种模式，开发人员可以定义一种所有漏洞数据库都可以导出的格式。这种统一的格式意味着程序员和安全研究人员可以轻松地在所有开源项目中共享工具和漏洞数据。 

漏洞模式规范已经经过多次迭代，但尚未完成。谷歌和朋友们正在邀请更多的反馈，因为它接近最后敲定。如今，许多公共漏洞数据库已经在导出这种格式，更多的数据库正在开发中：

用于Go包的Go漏洞数据库

用于货物包的Rust advice数据库

用于PyPI包的Python advice数据库

用于Linux内核和其他流行软件中漏洞的DWF数据库  < POS模糊数据库 

OSV服务还聚合了所有这些漏洞数据库，这些数据库可以在项目的web UI上查看。这些数据库也可以通过现有的API用一个命令来查询。

除了OSV现有的自动化功能外，Google还构建了更多的自动化功能 用于漏洞数据库维护的自动化工具，并使用这些工具 引导社区 Python咨询数据库。这种自动化会获取现有的feed，精确地将它们与包匹配，并 生成包含 精确、有效的版本范围，最少的人为干预。谷歌计划将这一工具扩展到其他生态系统，因为这些生态系统没有现有的漏洞数据库，或者对正在进行的数据库维护几乎没有支持 美国关于改善国家网络安全的行政命令，强调必须消除共享威胁信息的障碍，以加强国家基础设施。这个扩展的共享漏洞数据库标志着朝着为所有用户创建更安全的开源环境迈出了重要的一步。 

想参与吗？你应该。这保证了无论你的项目是什么，开源软件都更容易安全。 

相关报道：

2021年最佳视频点播流媒体服务：专家精选

暴露并修补了令人讨厌的Linux系统根级别安全漏洞

CloudLinux发布了适用于Linux服务器的UChecker安全工具

最佳移动VPN 2021:通过注册，确保您在任何地方的隐私

，您同意使用条款，并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:37