Google今天宣布擴(kuò)展開(kāi)源漏洞（OSV）數(shù)據(jù)庫(kù)，使用“精確描述漏洞”的統(tǒng)一模式納入Python、Rust、Go 和 DWF 等更多開(kāi)源項(xiàng)目的數(shù)據(jù)。雖然開(kāi)源軟件存在諸多優(yōu)勢(shì)，但漏洞問(wèn)題也日益突顯。

絕大多數(shù)代碼庫(kù)至少包含一個(gè)已知的開(kāi)源漏洞，而本周的一份報(bào)告認(rèn)為更多的時(shí)候，開(kāi)發(fā)人員在將第三方庫(kù)納入他們的軟件后并沒(méi)有更新它們。該報(bào)告還指出，92% 的開(kāi)源庫(kù)缺陷可以通過(guò)簡(jiǎn)單的更新輕松修復(fù)。

　　開(kāi)源軟件影響著幾乎所有的人，無(wú)處不在。從小型創(chuàng)業(yè)公司到大型企業(yè)，公司在他們的大部分應(yīng)用中都依賴社區(qū)驅(qū)動(dòng)的組件。因此，確保開(kāi)源軟件得到適當(dāng)?shù)木S護(hù)，符合每個(gè)人的利益。

　　今年 2 月，Google推出了開(kāi)源漏洞數(shù)據(jù)庫(kù)（Open Source Vulnerabilities，簡(jiǎn)稱 OSV）。Google稱這是為開(kāi)發(fā)者和其他開(kāi)源消費(fèi)者“改善漏洞分流（vulnerability triage）的第一步”。漏洞分流是對(duì)軟件組件中的已知缺陷按其對(duì)使用該組件的應(yīng)用程序構(gòu)成的風(fēng)險(xiǎn)進(jìn)行評(píng)估和排序的過(guò)程。

　　今天，Google正在擴(kuò)展 OSV，包括來(lái)自主要開(kāi)源項(xiàng)目的漏洞數(shù)據(jù)庫(kù)，包括Python、Rust、Go和DWF。從多個(gè)開(kāi)源數(shù)據(jù)庫(kù)匯總數(shù)據(jù)的主要挑戰(zhàn)之一是，它們可能遵守不同的格式，通常由個(gè)別組織創(chuàng)建。這種分布式的模式使得統(tǒng)一并以通用語(yǔ)言描述漏洞變得更加困難。因此，Google與更廣泛的開(kāi)源社區(qū)一起，一直在研究一個(gè) “漏洞交換模式”，以人類和自動(dòng)化工具都能使用的格式來(lái)描述各開(kāi)源項(xiàng)目的漏洞。

　　Google軟件工程師 Oliver Chang 告訴 VentureBeat：“他們的反饋有助于迭代、改進(jìn)和普及該格式?！痹谠摳袷教幱诜€(wěn)定狀態(tài)后，他們對(duì)其現(xiàn)有的漏洞數(shù)據(jù)集進(jìn)行了一些修改，以匹配OSV模式格式。這允許在OSV服務(wù)中聚合他們的數(shù)據(jù)集，任何人都可以用它來(lái)查詢其開(kāi)源依賴的漏洞“。