Google今天宣布擴(kuò)展開源漏洞（OSV）數(shù)據(jù)庫，使用“精確描述漏洞”的統(tǒng)一模式納入Python、Rust、Go 和 DWF 等更多開源項目的數(shù)據(jù)。雖然開源軟件存在諸多優(yōu)勢，但漏洞問題也日益突顯。

絕大多數(shù)代碼庫至少包含一個已知的開源漏洞，而本周的一份報告認(rèn)為更多的時候，開發(fā)人員在將第三方庫納入他們的軟件后并沒有更新它們。該報告還指出，92% 的開源庫缺陷可以通過簡單的更新輕松修復(fù)。

　　開源軟件影響著幾乎所有的人，無處不在。從小型創(chuàng)業(yè)公司到大型企業(yè)，公司在他們的大部分應(yīng)用中都依賴社區(qū)驅(qū)動的組件。因此，確保開源軟件得到適當(dāng)?shù)木S護(hù)，符合每個人的利益。

　　今年 2 月，Google推出了開源漏洞數(shù)據(jù)庫（Open Source Vulnerabilities，簡稱 OSV）。Google稱這是為開發(fā)者和其他開源消費(fèi)者“改善漏洞分流（vulnerability triage）的第一步”。漏洞分流是對軟件組件中的已知缺陷按其對使用該組件的應(yīng)用程序構(gòu)成的風(fēng)險進(jìn)行評估和排序的過程。

　　今天，Google正在擴(kuò)展 OSV，包括來自主要開源項目的漏洞數(shù)據(jù)庫，包括Python、Rust、Go和DWF。從多個開源數(shù)據(jù)庫匯總數(shù)據(jù)的主要挑戰(zhàn)之一是，它們可能遵守不同的格式，通常由個別組織創(chuàng)建。這種分布式的模式使得統(tǒng)一并以通用語言描述漏洞變得更加困難。因此，Google與更廣泛的開源社區(qū)一起，一直在研究一個 “漏洞交換模式”，以人類和自動化工具都能使用的格式來描述各開源項目的漏洞。

　　Google軟件工程師 Oliver Chang 告訴 VentureBeat：“他們的反饋有助于迭代、改進(jìn)和普及該格式。”在該格式處于穩(wěn)定狀態(tài)后，他們對其現(xiàn)有的漏洞數(shù)據(jù)集進(jìn)行了一些修改，以匹配OSV模式格式。這允許在OSV服務(wù)中聚合他們的數(shù)據(jù)集，任何人都可以用它來查詢其開源依賴的漏洞“。