Google a annoncé aujourd’hui avoir étendu ses vulnérabilités Open Source (OSV) pour incorporer les données de projets open source supplémentaires, en utilisant un schéma unifié pour « décrire précisément les vulnérabilités ».

Les avantages de logiciels open source sont largement compris, mais les inquiétudes concernant les vulnérabilités surgissent fréquemment. le la grande majorité des bases de code contiennent au moins une vulnérabilité open source connue, tandis qu’un rapport de cette semaine a conclu que plus souvent que non, les développeurs ne mettent pas à jour les bibliothèques tierces après les avoir incluses dans leur logiciel. Ce même rapport a noté que 92% des failles des bibliothèques open source pourraient être facilement corrigées avec une simple mise à jour.

Les logiciels open source impactent à peu près tout le monde, partout. Des petites startups aux grandes entreprises, les entreprises s’appuient sur des composants communautaires dans la plupart de leurs applications. Il est donc dans l’intérêt de tous de s’assurer que les logiciels open source sont correctement entretenus.

Tri des vulnérabilités

En février, Google lancé la base de données Open Source Vulnerabilities, qu’elle a qualifiée de «première étape vers l’amélioration du tri des vulnérabilités» pour les développeurs et autres consommateurs open source. Le triage des vulnérabilités est le processus d’évaluation et de classement des failles connues dans les composants logiciels par ordre de risque qu’elles représentent pour une application qui les utilise.

L’OSV fournit des données sur l’endroit où une vulnérabilité est apparue pour la première fois et où elle a été corrigée afin que les développeurs puissent mieux comprendre comment elles sont affectées. Au lancement, l’OSV incluait les données de « brouiller” (une technique pour trouver les erreurs de programmation logicielle) les vulnérabilités glanées dans le Service OSS-Fuzz dirigé par Google, qui s’intègre à des centaines de projets open source.

Aujourd’hui, Google étend OSV pour inclure les bases de données de vulnérabilité des grands projets open source, y compris Python, Rouiller, Va, et Fichier DWF.

L’un des principaux défis de l’agrégation de données provenant de plusieurs bases de données open source est qu’elles peuvent adhérer à différents formats, souvent créés par une organisation individuelle. Ce modèle distribué rend plus difficile l’unification et la description des vulnérabilités dans une langue vernaculaire commune. Ainsi, Google, en collaboration avec la communauté open source au sens large, a travaillé sur un « schéma d’échange de vulnérabilités » pour décrire les vulnérabilités des projets open source dans un format pouvant être utilisé à la fois par les humains et les outils d’automatisation.

Étant donné que la collaboration est le principe fondamental des logiciels open source, l’extension de l’OSV pour inclure d’autres écosystèmes open source nécessitait une participation active de tous les mainteneurs impliqués.

« Leurs commentaires ont aidé à itérer, améliorer et généraliser le format », a déclaré Oliver Chang, ingénieur logiciel de Google, à VentureBeat. « Une fois le format dans un état stable, ils ont apporté quelques modifications à leurs ensembles de données de vulnérabilité existants pour correspondre au format du schéma OSV. Cela a permis l’agrégation de leurs ensembles de données dans le service OSV, que n’importe qui pouvait utiliser pour rechercher des vulnérabilités dans leurs dépendances open source.

Doubler

Google a apparemment doublé ses investissements en matière de sécurité open source ces derniers temps. La semaine dernière, il a proposé une nouvelle « cadre de bout en bout pour l’intégrité de la chaîne d’approvisionnement » appelé Supply Chain Levels for Software Artifacts (SLSA), qui désigne les niveaux de certification de sécurité pour différents progiciels. Le géant de l’Internet a également été membre fondateur de un nouveau projet de la Linux Foundation appelé Sigstore, qui vise à aider les développeurs de logiciels à confirmer l’origine et l’authenticité des logiciels. Et en février, Google a révélé qu’il prendrait en charge les salaires de deux développeurs du noyau Linux pour aider à améliorer la sécurité.

Alors que Google attend d’autres retours de la communauté open source, le nouveau spécification du schéma de vulnérabilité n’est pas encore finalisé. Cependant, OSS-Fuzz, Python, Rust, Go et DWF exportent tous maintenant ce format, et l’OSV les a combinés bases de données de vulnérabilité dans un portail public qui peut également être interrogé à l’aide d’une seule commande via les API existantes.