近日，谷歌安全博客宣布了致力於為開發者和用戶帶來更好的漏洞分類體驗的OSV開源項目。據悉，新發起的該項目，可提供包括漏洞介紹和修復方案等在內的精確數據，進而幫助開源軟件使用者更好地評估其是否受到了漏洞的影響，以作出是否在第一時間部署安全修復的決定。

（來自：Google Security Blog）

項目啟動初期，OSV 主要涵蓋了OSS-Fuzz 服務發現的模糊漏洞數據集。可知在“了解、預防、修復”的框架下，該公司的漏洞管理工作也迎來了相當大的改進。

谷歌表示，對於開源軟件的使用者和維護者來說，漏洞管理都是一件相當痛苦的事情—— 比如難以快速分辨“常見漏洞披露”（CVE）條目是否與當前使用的版本有關，且大多都涉及繁瑣的勞動。

主要原因是，現有漏洞管理標準中的“版本控制方案”（CPE）無法與實際的開源版本方案實現完美映射（版本/ 標籤/ 哈希值等），結果導致下游消費者也受累於此。

OSV 流程示意

對於開源軟件的維護人員來說，除了發布所需的遵循的標準流程，仍需費心費力地確定所有受影響的在用版本、或跨各種分支的準確提交列表。

遺憾的是，對於大多數“用愛發電”的開源項目來說，維護者不僅缺乏至關重要的現代基礎設施等資源，也難以在有心無力的情況下付出足夠多的精力去洞察詳情。

好消息是，谷歌發起的OSV 項目，就旨在幫助開源軟件使用者和維護者及時整合重要的安全修復程序。

（OSV官網：傳送門）

由谷歌分享的流程圖和實例代碼可知，OSV 不僅借助了自動化流程來減輕開源軟件維護者的漏洞修復工作，還致力於通過易於使用的數據庫，來提升下游使用者的漏洞查詢精確性。

在確定了受影響的軟件版本之後，OSV 將要求維護者在提交修復時，附上援引的相關內容。若該信息不可能，OSV 也會要求提供提供再現測試用例和步驟，然後智能地幫助分析和查找受影響的範圍。

目前OSV 已經提供了與OSS-Fuzz 的緊密集成，涵蓋了380 多款重要開源軟件項目的漏洞詳情。之後還將與開源社區展開更深入的合作，以囊括跨各種語言的生態系統數據（比如NPM 和PyPI）。