Security: Google startet Datenbank zu Schwachstellen in Open-Source-Projekten

Open Source Vulnerabilities soll Schwachstellen verwalten und über eine API Einblick in betroffene Pakete und Versionen geben.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 2 Beiträge

(Bild: CarpathianPrince/Shutterstock.com)

Von
  • Rainald Menge-Sonnentag

Google hat mit Open Source Vulnerabilities (OSV) einen Dienst zum Verwalten von Schwachstellen in Open-Source-Code gestartet. Die OSV-Seite bietet eine API zum Abfragen, ob spezifische Versionen von Projekten von Bugs betroffen sind. Zum Start verwaltet die Software Schwachstellen, die das ebenfalls von Google veröffentlichte Fuzz-Testing-Werkzeug OSS-Fuzz gefunden hat. Mittelfristig sollen Daten aus Paketmanagern wie NPM für JavaScript und PyPI für Python hinzukommen.

Der Internetriese hat OSS Fuzz gemeinsam mit der Core Infrastucture Initiative entwickelt und 2016 der Öffentlichkeit vorgestellt. Das Tool untersucht Open-Source-Software mit Fuzzing auf Schwachstellen. Bei dem Testverfahren blickt das Werkzeug anders als bei Unit-Tests oder statischer Codeanalyse nicht auf den Sourcecode, sondern füttert die zu testende Software mit Eingabedaten, die zufällig oder bewusst fehlerhaft beziehungsweise unvollständig sind.

Lesen Sie auch

Auf die Weise findet das Fuzzing-Verfahren Fehler, die unter anderem durchrutschen, wenn menschliche Tester nur plausible Daten nutzen. Laut der GitHub-Seite zu OSS Fuzz hat das Tool bisher gut 25.000 Bugs in 375 Open-Source-Projekten aufgespürt.

OVE soll neben der Schwachstellensuche auch das Auffinden betroffener Versionen automatisieren. Dazu setzt der Dienst auf automatisierte Impact-Analyse und Bisektion-Verfahren. Letzteres dient zum Auffinden des Commits, der einen bestimmten Bug in das Projekt eingebracht hat. Git kennt dafür den Befehl git-bisect.

Wer eine Open-Source-Library nutzt, kann über eine API auf OSV zugreifen und abfragen, ob eine bestimmte Version von einer gefundenen Schwachstelle betroffen ist. Für die Abfrage ist ein API-Key aus der Google APIs Console erforderlich.

Derzeit erhält die OSV die Daten aus OSS-Fuzz, aber weitere Quellen wie Reports zu NPM, Go und PyPI sind in Planung.

(Bild: Google)

Neben einer Abfrage, ob ein spezifischer Commit oder eine bestimmte Version eines Projekts von einer bekannten Schwachstelle betroffen ist, bietet die API eine Methode, um die Beschreibung einer Schwachstelle zu einer ID in der OSV-Datenbank abzurufen.

Weitere Details lassen sich dem Open-Source-Blog bei Google entnehmen. Die Abfrage auf die OSV-Website ist auf 100 Requests pro Minute begrenzt. Der Sourcecode des Projekts steht unter Apache-2-Lizenz auf GitHub bereit.

(rme)