米Googleは、オープンソースの脆弱性データベース向けに、脆弱性交換スキーマを開発したことを、6月24日(現地時間)に発表した。
オープンソースの脆弱性データベースは、オープソースソフトウェアの開発者とユーザーの、脆弱性トリアージを自動化、および改善することを目的として、2月に提供が開始されている。
なお、オープンソースの脆弱性データベースは、オープンソースの開発と同様に分散モデルによって、多くのエコシステムや組織が独自のデータベースを作成する。それぞれが独自の形式を使用して脆弱性を記述するため、複数のデータベースにわたる脆弱性を追跡するクライアントは、それぞれを完全に個別に処理する必要があり、データベース間で脆弱性を共有することが難しかった。
そこで、GoogleのオープンソースセキュリティチームやGo言語開発チーム、そして広範なオープンソースコミュニティは、オープンソースエコシステム向けに設計された脆弱性を記述するための単純な脆弱性交換スキーマの開発に至っている。
同スキーマは、オープンソースの脆弱性に関する、いくつかの重要な問題に対処することを目的としており、同スキーマによってすべての脆弱性データベースがエクスポートできる形式の定義を目指す。
統一された形式は、脆弱性データベース、オープンソースユーザー、セキュリティ研究者がツールを用いて簡単に共有可能なので、すべての人がオープンソースの脆弱性をより完全に把握でき、自動化によって検出と修復にかかる時間の短縮が可能になる。
現時点では、スキーマの仕様に関するフィードバックを募集している。すでに多くの公開脆弱性データベースが同形式をエクスポートする。Googleの提供するオープンソースの脆弱性データベースでも、脆弱性情報を集約できるWebUIを用意しており、既存のAPI経由での単一のコマンドによるクエリ実行に対応する。
そのほか、脆弱性データベースをメンテナンスするための自動化ツールを構築し、そのツールによってコミュニティのPythonアドバイザリデータベースを自動化しており、取得した既存のフィードをパッケージと照合し、最小限の人力によって検証済みのバージョン範囲を含むエントリを生成している。今後は同ツールを、既存の脆弱性データベースがない、または継続的なデータベース保守のサポートがほとんどない他のエコシステムに拡張していく。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
