Googleオープンソースソフトの脆弱性データベースOSVを拡大、Go、Rust、Python、DWFもサポート

 Google(米Alphabet)は6月24日、オープンソースプロジェクトの脆弱性データベース「Open Source Vulnerabilities(OSV)」を拡大し、Go、Rust、Python、DWFの脆弱性データベースをサポートすることを発表した。

 Open Source Vulnerabilities(OSV)はオープンソースプロジェクトの脆弱性データベースで、オープンソースプロジェクトのトリアージインフラを目指す。どこで脆弱性が入り、どこで修正されたのかを正確にすることを目的とし、統一された方法を提供することでオープンソースソフトウェアの使用者とメンテナーのセキュリティ対策を支援する。

 2月に公開以来、コミュニティからのフィードバックを受けてCloud APIキーを不要にするなど改善を進めてきた。今回Go、Rust、Python、DWFにも拡大、単一のCurlコマンドで脆弱性情報にアクセスできる。開発者はセキュリティ問題の追跡や対策のためのステップを簡素化できるとしている。

 Googleはまた、オープンソースコミュニティと進めている脆弱性情報をやり取りする共通スキーマの確立に向けた取り組みについても進捗を報告している。具体的には、脆弱性の記述の標準化、実際のオープンソースパッケージで用いる名称とバージョンとの合致などを目指す。すでに一部の脆弱性データベースでこのフォーマットでのエクスポートをすすめており、今後フィードバックを受けて仕様を固めていくという。

Open Source Vulnerabilities(OSV)
https://osv.dev