Google、オープンソースソフトウェアの脆弱性をバージョンごとにデータベース化する「OSV」（Open Source Vulnerabilities）プロジェクトを開始

Googleは、オープンソースで開発されているソフトウェアの脆弱性がどのバージョンで生じ、どのバージョンで修正されたかなどの詳細をデータベース化する「OSV」（Open Source Vulnerabilities）プロジェクトの開始を発表しました。

オープンソースはクラウド基盤からアプリケーションまで、さまざまな場所で重要な役割を果たすようになってきています。そのため、正確な脆弱性情報の管理もまた重要さを増しています。

OSVにより、オープンソースソフトウェアの開発者やメンテナは手間がかかっていた脆弱性の報告が容易になります。

利用者はオープンソフトウェアの脆弱性がいつ修正されたのかなどの正確な情報を簡単かつ一貫した方法で得られるようになり、利用するソフトウェアの脆弱性の管理と対応を迅速かつ容易にできるようになります。

バグの再現手順を提供すればOSVが自動的にバージョン情報などを探索

Googleによると、OSVに保存される脆弱性情報は徐々に充実させていく予定。

まずは、Googleが2016年にオープンソースで公開した脆弱性検出ツール「OSS-Fuzz」によって検出された脆弱性の情報をOSVに保存していきます。

参考：Google、脆弱性検出のためのファジング（Fuzzing）を機械的に実行する「OSS-Fuzz」、ベータ公開

OSVはオープンソースのメンテナによる脆弱性の報告プロセスも簡素化を実現しようとしており、脆弱性のバグが組み込まれたコミットと修正したコミットの情報を提供できない場合、OSVに対して再現テストケースとアプリケーションビルドを生成する手順を提供すれば、OSVが自動化された方法を用いて正確なコミット情報を探索し、確定させるようにします。

OSSの実際のバージョン番号とCVEとをマッピング

OSVでは、共通脆弱性識別子としてよく知られているCVE（Common Vulnerabilities and Exposures）の情報についてもマッピングを行っていく予定とのこと。

というのも、CVEなど既存の脆弱性情報で採用されているバージョンスキーマは、オープンソースソフトウェアで実際に使われているバージョン番号との対応がうまく行われていない場合が多く、オープンソースのユーザーにとっては実際にどのバージョンにどんな脆弱性があるのかを知ることが難しくなっていると指摘されています。

OSVではそのマッピングを行うことで、ユーザーにとって分かりやすい情報の入手を容易にする予定とのこと。

OSVに保存された脆弱性情報は、APIを通じてJSONフォーマットで簡単に取り出すことができるようになっているため、ユーザーは自分が利用しているオープンソースのバージョンにどのような脆弱性があるか、いつ修正されたかなどを容易に知ることができるようになるとしています

OSSではまず、主要な388以上のオープンソースプロジェクトに対してOSS-Fuzzを用いた脆弱性の検出を開始。今後その範囲をさらに拡大させていく予定です。