Googleがオープンソース脆弱性のデータベースをPythonやGoにまで拡大

オープンソースプロジェクトにまつわる脆弱性の問題を解決するため、Googleは脆弱性データベース「Open Source Vulnerabilities(OSV)」を構築しています。2021年6月24日付けの発表で、OSVが扱うオープンソースプロジェクトの範囲がPython、Rust、Go、DWFにまで拡大することが明らかになりました。

Google Online Security Blog: Announcing a unified vulnerability schema for open source
https://security.googleblog.com/2021/06/announcing-unified-vulnerability-schema.html

GitHub - google/oss-fuzz: OSS-Fuzz - continuous fuzzing for open source software.
https://github.com/google/oss-fuzz

Google extends open source vulnerabilities database to Python, Rust, Go, and DWF | VentureBeat
https://venturebeat.com/2021/06/24/google-extends-open-source-vulnerabilities-database-to-python-rust-go-and-dwf/

多くの企業や開発者がソースコードを公開したオープンソースのソフトウェアを利用していますが、その性質上、オープンソースソフトウェアには一定のセキュリティリスクがつきものです。たとえば、これまでの調査で商用コードベースの84％に「少なくとも1つのオープンソースの脆弱性が含まれている」ことが確認されています。オープンソースライブラリの脆弱性は簡単な更新で修正できますが、開発者の79％がコード内のサードパーティーライブラリを更新していないことも判明しています。このような状況から、多くのコードベースでオープンソースの脆弱性が修正されないままになっているという問題が指摘されています。

上記のような問題を解決するため、Googleは2月にOSVなるものを立ち上げました。オープンソースの脆弱性を修正するにはまず、脆弱性のリスクをランク付けする「脆弱性トリアージ」が必要ですが、これには手間と時間がかかります。OSVは脆弱性トリアージのプロセスを改善するための取り組みです。

OSV
https://osv.dev/

Launching OSV - Better vulnerability triage for open source | Google Open Source Blog
https://opensource.googleblog.com/2021/02/launching-osv-better-vulnerability.html

OSVは脆弱性が初めて確認され、修正された場所のデータを記録するもので、開発者が脆弱性のインパクトを理解することに役立つとのこと。公開時点でGoogleはさまざまなオープンソースを対象にしたファジングで得られたデータをOSVに格納していました。

そして2021年6月24日付けでGoogleは新たに、OSVが扱うオープンソースプロジェクトの範囲をPython、Rust、Go、DWFにまで拡大すると発表しました。

オープンソース脆弱性のデータベースは、それぞれの企業や組織が個別に作成することが多く、独自のフォーマットで記述されます。このためクライアントは複数のデータベースで脆弱性を追跡し、それぞれを個別に処理する必要があるという点が課題となっています。Googleはさまざまなオープンソースコミュニティと協力して「脆弱性交換スキーマ」に取り組んだとのこと。このスキーマにより、「人間」と「自動化ツール」の双方が利用できるフォーマットで、複数のオープンソースプロジェクトにまたがる脆弱性が記述されるようになりました。

Googleはさまざまなコミュニティの協力を得て、フィードバックを受けながらOSVの拡大を進めました。GoogleのエンジニアであるOliver Chang氏は、「フォーマットが安定した後、コミュニティの参加者は彼らが有していた既存の脆弱性データセットに、OSVスキーマのフォーマットと合致させるための修正を加えました。これにより、OSVスキーマで彼らのデータセットの集約が実現し、誰でも脆弱性についての照会ができるようになりました」とコメントしています。