Google Luncurkan Tool Open Source Vulnerability Dilengkapi dengan OSS-Fuzz

OSV-Open-Source-Vulnerability
    Photo: Open Source Vulnerability (Google Security Team)

Google baru saja merilis platform Open Source Vulnerability sebagai tempat basis data kerentanan dan infrastruktur triase untuk proyek, membantu pengelola hingga konsumen sumber terbuka. Informasi ini dipublikasikan melalui Google Blog mereka.

Seluruh arsip dapat memungkinkan pengguna dan pengelola perangkat lunak open source untuk menemukan kerentanan yang mempengaruhi mereka, memberikan info terperinci tentang versi dan mengidentifikasi dampak dari kerentanan tersebut. Hal ini akan membantu untuk mengurangi jika ada serangan dari celah yang tidak terduga.

"Kami sangat senang meluncurkan OSV (Open Source Vulnerability), langkah pertama kami untuk meningkatkan triase kerentanan bagi pengembang dan konsumen yang menggunakan perangkat lunak berbasis open source," tulis Oliver Chang dan Kim Lewandowski, Google Security Team.

"Tujuan OSV adalah memberikan data yang akurat tentang di mana kerentanan muncul dan di mana kerentanan itu diperbaiki, sehinga membantu konsumen untuk mengidentifikasi secara akurat apakah mereka terkena dampak dan kemudian melakukan perbaikan keamanan secepat mungkin," tambahnya.

Pada saat peluncurnan, basis data hanya menyertakan informasi kerentanan dari OSS-Fuzz yang kebanyakan dibuat dari bahasa pemrograman C / C++, tetapi Google berencana untuk segera menambahkan lebih banyak sumber data. Misalnya NPM Registry dan PyPI.

Kini OSV sudah menyertakan ribuan kerentanan yang dikumpulkan dari satu proyek yang terintegrasi dengan layanan OSS-Fuzz milik Google. Jika di total dari keseluruhan, ada sekitar 380 proyek open source yang akan membantu menemukan titik celah dari kerentanan.

"OSV adalah database kerentanan untuk proyek open source. Ini memperlihatkan API yang memungkinkan pengguna dari proyek ini menanyakan apakah versi mereka terpengaruh atau tidak.," menurut catatan Google Security Team.

“Untuk setiap kerentanan, kami melakukan dua kali untuk mencari tahu komit tepat yang memperkenalkan bug, serta komit tepat yang memperbaikinya. Ini direferensikan silang terhadap repositori upstream untuk mencari tahu tag yang terpengaruh dan rentang commit."

Tim Google Security membagikan API sederhana yang dapat digunakan oleh siapapun dan memberikan git commit hash atau nomer versi untuk menerima daftar kerentanan yang ada untuk versi itu.

"Untuk pengelola open source, OSV akan bekerja secara otomatis untuk membantu mengurangi beban triase. Setiap kerentanan mengalami pembagian dua dan analisis dampak otomatis untuk menentukan rentang versi dan commit yang terpengaruh secara tepat," kata Google Security Team.