Google представила новый сервис для поиска уязвимостей в открытом ПО

18.02.2021      18544

Компания Google запустила платформу с открытым исходным кодом OSV (Open Source Vulnerabilities). Она создана для поиска и закрытия уязвимостей в свободном ПО.

Знай, предотвращай, исправляй

В 2016 году Google запустила проект OSS-Fuzz. Это система автоматизированного фаззинг-тестирования, которая позволяет подавать на вход модели неожиданные, случайные или заведомо некорректные данные.

В OSS-Fuzz компания впервые реализовала концепцию «Знай, предотвращай, исправляй». В системе протестировали более 380 проектов с открытым исходным кодом, написанных на C и C++. Часть данных об уязвимостях OSS-Fuzz легла в основу OSV.

Проект для фаззингового тестирования есть и у Microsoft.

Суть проекта OSV

OSV — это актуальная база описанных уязвимостей в программных продуктах и компонентах с открытым исходным кодом. Через API сервиса вы можете автоматизировать процесс создания запросов о потенциальных уязвимостях.

В ответах будет указана версия репозитория с кодом. Таким образом, один и тот же запрос, сделанный в разное время, может дать разные результаты.

Разработчики пояснили: чтобы эффективно решать проблемы, каждой уязвимости в свободном ПО присваивается уникальный OSV-идентификаторы. Также в базе указывается расширенная информация: диапазон версий, в которых присутствует уязвимость, статус ее исправления, коммиты, которые решают проблему, ссылки на репозитории.

Если уязвимость занесена в систему, но нельзя точно сказать, в какой версии она появилась, OSV запрашивает тестовые данные и список шагов для воспроизведения. Затем система в автоматическом режиме сканирует код и находит коммиты, которые могли привести к проблеме.

Зачем нужна OSV

Пользователи открытого ПО часто не могут сопоставить CVE-записи об уязвимостях (Common Vulnerabilities and Exposures) с версиями пакетов. Это происходит из-за того, что схемы управления версиями в существующих стандартах, например, в CPE (Common Platform Enumeration), не соответствуют данным в популярных системах контроля версий (Git, Subversion и др.). Здесь обычно указываются либо номера версий и теги, либо хэши фиксации уязвимостей. В результате пользователи могут лишиться данных или получить неожиданные побочные эффекты от используемых компонентов.

Благодаря новой платформе разработчики, которые занимаются поддержкой проектов с открытым исходным кодом, будут раньше узнавать об уязвимостях и эффективнее закрывать их. Если программист увидит, что проблема есть, но ею уже кто-то занимается, то он сможет сосредоточиться на других задачах.

 

 

Автоматизация работы с уязвимостями должна повысить качество открытого ПО и избавить разработчиков от существенной части рутинной работы и ручных проверок.

Кроме того, пользователи будут видеть, какие версии затрагивает уязвимость. Соответственно, они смогут либо откатиться до предыдущих состояний репозитория, либо обновить ПО до версий, в которых проблема уже решена — в зависимости от состояния проекта.


Автор:
Ксения Шестакова Обозреватель


В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
В этой теме еще нет сообщений.
Оставьте свое сообщение

См. также

Apple отложила требование об обязательном удалении аккаунтов в приложениях

Новость Безопасность ИТ-новость Мобильные приложения Новости компаний

Apple в очередной раз перенесла сроки вступления в силу новых правил App Store. В них прописано новое требование для всех разработчиков: добавить в приложение возможность удалять аккаунт.

вчера в 17:07    3049    VKuser24342747    0       

Google назвала пять трендов машинного обучения в 2021 году

Новость Google Искусственный интеллект ИТ-новость

Google провела исследование, в котором озвучила ключевые направления развития индустрии машинного обучения (МО) в 2021 году. Компания ожидает в ближайшие годы научных прорывов в отрасли.

вчера в 16:02    3553    VKuser24342747    0       

Исходный код модели Facebook XLS-R выложили в интернет

Новость Искусственный интеллект ИТ-новость Новости компаний

Одна из самых мощных многоязычных моделей распознавания речи XLS-R теперь доступна всем разработчикам. Facebook опубликовала исходный код решения на GitHub и Hugging Face.

вчера в 11:30    2998    user1015646    0       

Компания OPPO подготовила концепцию устройств без аккумуляторов

Новость Инновации ИТ-новость Новости компаний

Китайский производитель смартфонов OPPO опубликовал доклад, в котором представил идею зарядки IoT-устройств от сигналов мобильных телефонов, Bluetooth и сетей Wi-Fi.

26.01.2022    2507    VKuser24342747    2       

Минцифры разработает единый стандарт для умных многоквартирных домов

Новость ИТ-новость Минкомсвязь Цифровая экономика

Минцифры совместно с другими ведомствами и представителями ИТ-отрасли намерено представить общие правила предоставления сервисов умного дома, чтобы добиться единообразия приложений.

24.01.2022    2267    VKuser24342747    0       

Visa разработала способ превратить почти любое устройство в POS-терминал

Новость ИТ-новость Новости компаний Онлайн-торговля

Visa запустила платформу, которая позволяет большинству популярных устройств подключаться к облаку и функционировать как платежный терминал. Решение уже доступно для тестирования в шести регионах.

21.01.2022    1580    VKuser24342747    0       

Число патентов на нейросетевые технологии показало взрывной рост

Новость Искусственный интеллект ИТ-новость

Агрегатор патентных данных IFI Claims провел исследование рынка, что узнать: какие страны и компании наиболее активно регистрируют права на изобретения в области компьютерных систем, основанных на биологических моделях.

20.01.2022    1384    VKuser24342747    0       

Nvidia обновила программу для генерации пейзажей при помощи ИИ

Новость Искусственный интеллект ИТ-новость

Новая версия графического редактора Nvidia Canvas, создающего изображения по примитивному наброску, поддерживает высокое разрешение картинок и предлагает больше материалов.

19.01.2022    2208    VKuser24342747    0       

Производитель «Эльбрусов» раскритиковал отсрочку внедрения российских процессоров

Новость Импортозамещение ИТ-новость

Компания «МЦСТ», выпускающая российские процессоры «Эльбрус», опасается угрозы нацбезопасности после ввода балльной системы оценки для отечественной радиоэлектроники.

18.01.2022    2031    VKuser24342747    0       

Сводит олдскулы: культовую игру Prince of Persia перенесли в браузер

Новость

Энтузиаст Оливер Клеменц портировал одну из любимых игр детства на современные компьютеры, планшеты и смартфоны – чтобы сыграть в нее сегодня, достаточно открыть браузер.

18.01.2022    1408    user1015646    1       

Минцифры намерено предустановить российские ОС на ноутбуки HP, Acer и Lenovo

Новость Импортозамещение ИТ-новость

Министерство цифрового развития начало переговоры с представителями компаний HP, Acer и Lenovo о возможности предустановки отечественных операционных систем на устройства производителей.

10.01.2022    6254    VKuser24342747    2       

OpenAI обучила нейросеть редактировать изображение по текстовому описанию

Новость Искусственный интеллект ИТ-новость

OpenAI показала результат работы программы GLIDE, которая способна внести изменения в готовое изображение по описанию с сохранением стиля и экспозиции. Также нейросеть может создавать уникальные картинки.

29.12.2021    8280    VKuser24342747    0       

Google посоветовала разработчикам адаптировать Android-приложения под Chrome OS

Новость ОС Android Google ИТ-новость

Google сообщила, что работает над крупным обновлением для Chrome OS, которое позволит более эффективно работать с Android-приложениями, поэтому разработчикам стоит задуматься над адаптацией своих программ.

28.12.2021    9817    VKuser24342747    0       

Новый инструмент Microsoft использует искусственный интеллект для поиска багов в коде

Новость Искусственный интеллект ИТ-новость Новости компаний

Microsoft представила новый инструмент на базе искусственного интеллекта. BugLab использует технологии глубокого обучения, чтобы находить баги в коде и давать советы по их исправлению.

24.12.2021    10462    user1015646    0       

Яндекс научил «Балабобу» генерировать новогодние открытки

Новость Искусственный интеллект ИТ-новость Яндекс

Яндекс представил обновление для своего нейросетевого сервиса для создания текстов «Балабоба». Веб-приложение научилось генерировать именные поздравления с Новым годом и изображения к ним.

21.12.2021    12465    VKuser24342747    0       

В Windows можно будет запускать Android-игры

Новость Windows Google ИТ-новость Мобильные приложения Новости компаний

На выставке The Game Awards компания Google заявила, что Android-игры придут в Windows на десктопе уже в 2022 году.

20.12.2021    10359    user1015646    0       

Языковая модель DeepMind превосходит аналоги по качеству работы

Новость Искусственный интеллект ИТ-новость

ИИ-лаборатория DeepMind представила исследования возможностей больших языковых моделей. В компании пришли к выводу, что необходимо дальнейшее масштабирование таких систем.

17.12.2021    18342    VKuser24342747    0       

Лауреатов «Премии Рунета 2021» впервые определил искусственный интеллект

Новость Искусственный интеллект ИТ-новость

По традиции призеров определяет экспертное сообщество. Однако в этом году организаторы поручили искусственному интеллекту выбрать по одному дополнительному победителю в каждой номинации.

16.12.2021    26510    VKuser24342747    1       

МИД разработает систему на базе ИИ для анализа внешней политики

Новость Искусственный интеллект ИТ-новость

МИД России намерен в следующем году представить концептуальный проект системы на базе машинного обучения для анализа big data в отношении внешнеполитической деятельности.

16.12.2021    10492    VKuser24342747    0       

Компания Mozilla представила стабильную версию браузера Firefox 95

Новость Интернет ИТ-новость

В обновленном веб-обозревателе появилась продвинутая песочница для надежной защиты браузера. Кроме того, добавлена версия для Microsoft Store в Windows 11, улучшена производительность и скорость загрузки страниц.

15.12.2021    7569    VKuser24342747    0       

Россия догонит международный рынок квантовых технологий в 2030 году

Новость ИТ-новость

Минцифры сообщило о планах сократить отставание страны от глобального рынка квантовых вычислений к 2025 году. Еще через пять лет Россия достигнет уровня других государств в этой отрасли.

14.12.2021    10939    VKuser24342747    4       

В России запустили аналог GitHub

Новость git GitHub Импортозамещение ИТ-новость

Российские разработчики представили платформу для работы с Git-репозиториями – GitFlic. Это облачный сервис для совместного редактирования кода и контроля версий программных продуктов.

14.12.2021    22537    user1015646    4       

Разработчики ИИ получат 10 млрд рублей для создания ПО для бизнеса

Новость ИТ-новость

Минэкономики представило проект, который позволяет компаниям, создающим программы на базе ИИ, интернета вещей и 5G, получить до 250 млн рублей на адаптацию софта под нужны крупного бизнеса.

10.12.2021    12178    VKuser24342747    3       

Российский ИИ проведет психоанализ по постам в социальных сетях

Новость Искусственный интеллект ИТ-новость Соцсети

В России создадут систему искусственного интеллекта, которая будет оценивать психологическое состояние жителей страны по материалам на их страницах в социальных сетях. Грант на разработку получил Институт системного программирования.

10.12.2021    10956    user1015646    2       

В популярном браузере появился сверхбезопасный режим

Новость Безопасность Интернет ИТ-новость

В браузер Microsoft Edge, который поставляется с Windows 10 и 11, добавили сверхбезопасный режим Super Duper Secure Mode. Он защищает от выполнения вредоносного кода и предупреждает утечку данных.

09.12.2021    12541    user1015646    1