Após iniciar seu próprio banco de dados de falhas de código aberto, o Google propôs um esquema de troca de vulnerabilidades de código aberto.
Serviços de informações sobre vulnerabilidades são uma necessidade constante no mundo do software. E mesmo sendo algo público, nem sempre há o devido intercâmbio de dados, o que pode gerar duplicidade ou erros no cadastramento de algumas falhas.
O CVE, ou Common Vulnerabilities and Exposures (Vulnerabilidades e exposições comuns), é um banco de dados que registra vulnerabilidades e exposições relacionadas a segurança da informação conhecidas publicamente, e também um grande exemplo desse tipo de base de dados.
Agora, como parte do trabalho mais recente do Google na tentativa de aprimorar a segurança do software de código aberto, meses depois de iniciar seu próprio banco de dados de vulnerabilidades de código aberto, eles agora procuram implementar um esquema de intercâmbio de vulnerabilidades de código aberto para facilitar a troca de informações sobre vulnerabilidades e é mais fácil para análise automatizada.
Google propôs um esquema de troca de vulnerabilidades de código aberto
O Google espera que isso seja adotado como um esquema de vulnerabilidade unificado usado por projetos de código aberto para retransmitir detalhes sobre vulnerabilidades.
Em grande parte, a ênfase neste esquema é facilitar a análise e o processamento automatizados, enquanto o formato baseado em JSON também pode ser convertido em uma saída amigável com facilidade.
Aqui está uma olhada no design em seu estado quase finalizado.
O Google tem trabalhado com projetos como Go, Rust, Python e seu próprio OSS-Fuzz para dar suporte a esse esquema enquanto trabalham para finalizá-lo.
Mais detalhes sobre o esquema de vulnerabilidade de código aberto do Google podem ser encontrados no blog de segurança do Google.