Où se situe votre entreprise sur la courbe d’adoption de l’IA ? Prenez notre Enquête sur l’IA découvrir.


Google a annoncé aujourd’hui avoir étendu ses vulnérabilités Open Source (OSV) pour incorporer les données de projets open source supplémentaires, en utilisant un schéma unifié pour « décrire précisément les vulnérabilités ».

Les avantages de logiciels open source sont largement compris, mais les inquiétudes concernant les vulnérabilités surgissent fréquemment. le la grande majorité des bases de code contiennent au moins une vulnérabilité open source connue, tandis qu’un rapport de cette semaine a conclu que plus souvent que non, les développeurs ne mettent pas à jour les bibliothèques tierces après les avoir incluses dans leur logiciel. Ce même rapport a noté que 92% des failles des bibliothèques open source pourraient être facilement corrigées avec une simple mise à jour.

Les logiciels open source impactent à peu près tout le monde, partout. Des petites startups aux grandes entreprises, les entreprises s’appuient sur des composants communautaires dans la plupart de leurs applications. Il est donc dans l’intérêt de tous de s’assurer que les logiciels open source sont correctement entretenus.

Tri des vulnérabilités

En février, Google lancé la base de données Open Source Vulnerabilities, qu’elle a qualifiée de «première étape vers l’amélioration du tri des vulnérabilités» pour les développeurs et autres consommateurs open source. Le triage des vulnérabilités est le processus d’évaluation et de classement des failles connues dans les composants logiciels par ordre de risque qu’elles représentent pour une application qui les utilise.

Publicité

L’OSV fournit des données sur l’endroit où une vulnérabilité est apparue pour la première fois et où elle a été corrigée afin que les développeurs puissent mieux comprendre comment elles sont affectées. Au lancement, l’OSV incluait les données de « brouiller” (une technique pour trouver les erreurs de programmation logicielle) les vulnérabilités glanées dans le Service OSS-Fuzz dirigé par Google, qui s’intègre à des centaines de projets open source.

Aujourd’hui, Google étend OSV pour inclure les bases de données de vulnérabilité des grands projets open source, y compris Python, Rouiller, Va, et Fichier DWF.

L’un des principaux défis de l’agrégation de données provenant de plusieurs bases de données open source est qu’elles peuvent adhérer à différents formats, souvent créés par une organisation individuelle. Ce modèle distribué rend plus difficile l’unification et la description des vulnérabilités dans une langue vernaculaire commune. Ainsi, Google, en collaboration avec la communauté open source au sens large, a travaillé sur un « schéma d’échange de vulnérabilités » pour décrire les vulnérabilités des projets open source dans un format pouvant être utilisé à la fois par les humains et les outils d’automatisation.

Étant donné que la collaboration est le principe fondamental des logiciels open source, l’extension de l’OSV pour inclure d’autres écosystèmes open source nécessitait une participation active de tous les mainteneurs impliqués.

« Leurs commentaires ont aidé à itérer, améliorer et généraliser le format », a déclaré Oliver Chang, ingénieur logiciel de Google, à VentureBeat. « Une fois le format dans un état stable, ils ont apporté quelques modifications à leurs ensembles de données de vulnérabilité existants pour correspondre au format du schéma OSV. Cela a permis l’agrégation de leurs ensembles de données dans le service OSV, que n’importe qui pouvait utiliser pour rechercher des vulnérabilités dans leurs dépendances open source.

Doubler

Google a apparemment doublé ses investissements en matière de sécurité open source ces derniers temps. La semaine dernière, il a proposé une nouvelle « cadre de bout en bout pour l’intégrité de la chaîne d’approvisionnement » appelé Supply Chain Levels for Software Artifacts (SLSA), qui désigne les niveaux de certification de sécurité pour différents progiciels. Le géant de l’Internet a également été membre fondateur de un nouveau projet de la Linux Foundation appelé Sigstore, qui vise à aider les développeurs de logiciels à confirmer l’origine et l’authenticité des logiciels. Et en février, Google a révélé qu’il prendrait en charge les salaires de deux développeurs du noyau Linux pour aider à améliorer la sécurité.

Alors que Google attend d’autres retours de la communauté open source, le nouveau spécification du schéma de vulnérabilité n’est pas encore finalisé. Cependant, OSS-Fuzz, Python, Rust, Go et DWF exportent tous maintenant ce format, et l’OSV les a combinés bases de données de vulnérabilité dans un portail public qui peut également être interrogé à l’aide d’une seule commande via les API existantes.

VentureBeat

La mission de VentureBeat est d’être une place publique numérique pour les décideurs techniques afin d’acquérir des connaissances sur la technologie transformatrice et d’effectuer des transactions. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :

  • des informations à jour sur les sujets qui vous intéressent
  • nos newsletters
  • contenu de leader d’opinion fermé et accès à prix réduit à nos événements prisés, tels que Transformer 2021: Apprendre encore plus
  • fonctionnalités de mise en réseau, et plus

Devenir membre

Rate this post
Publicité
Article précédentLes bêtes sexy de Netflix promettent la luxure des animaux, des costumes horribles
Article suivantFortnite Season 7, Week 3 Challenge Guide: Comment placer des panneaux de bienvenue dans Pleasant Park et Lazy Lake
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici