Google uvaja enotno zbirko podatkov o varnostnih ranljivostih odprtokodne programske opreme.
Poslovnež H. James Harrington je nekoč zapisal, da če nečesa ne morete izmeriti, tega ne morete razumeti, če ne morete razumeti, tega ne morete nadzorovati, če ne morete nadzorovati pa ne morete izboljšati. In res je tako. Google je njegovo opažanje vzel resno in predstavil nov način, kako izboljšati varnost odprtokodnih sistemov. Ideja je pravzaprav logična in ena tistih, pri katerih se vprašamo, zakaj tega nihče ni naredil že zdavnaj.
Ena od primarnih težav nadzora varnosti je v tem, da obstaja cela vrsta podatkovnih baz, v katerih se zbirajo podatki o ranljivosti sistemov, med njimi pa ni nobene pametne povezave. In ker povezav ni, je zalo težko ustvariti sistem sledenja odvisnostim in povezav med podatki o ranljivosti. Nekdo, ki si želi ustvariti celostno varnostno sliko, mora tako preiskati vsako teh baz posebej, kar zahteva veliko dela in časa. A je to potrebno narediti, saj je poznavanje težav osnova za spopadanje z njimi oziroma tisti »nekaj«, kar je potrebno najprej izmeriti, da bi se lahko razumelo, nadzorovalo in izboljšalo.
In kako se je težave lotil Google? Tako, da je združil delo, ki so ga vložili avtorji Open Source Vulnerabilities (OSV) database in OSS-Fuzz ter vse skupaj povezal v enotno »shemo«, ki ji je dodoal še podatke iz odprtokodnih ekosistemov, kot so Go, Rust, Python in DWF.
Nedavni komentarji