3.5 开源漏洞数据库

2021年，谷歌安全发布了（https://security.googleblog.com/2021/02/ launching-osv-better-vulnerability.html）开源漏洞（OSV）项目（https://osv.dev），目的是“改善对开源软件的开发者和消费者的漏洞分类”。该项目源于谷歌安全早期的“了解、预防、修复”项目(https://opensource.googleblog.com/2021/02/know-prevent-fix-frameworkfor-shifting-discussion-around-vulnerabilities-in-open-source.html).OSV致力于提供有关漏洞产生和修复位置的数据，以使软件消费者能够了解漏洞的影响以及如何降低风险。OSV的目标是最小化维护人员发布漏洞所需的工作量，并提高下游消费者的漏洞查询的准确性。OSV通过强大的API和查询漏洞数据，为开源软件包消费者自动执行分类工作流程。它还降低了软件维护人员试图提供可能影响下游消费者的提交和分支中受影响版本的准确列表所产生的开销。

谷歌安全发布了一些博客，展示了OSV如何将SBOM与漏洞连接起来，因为OSV能够以一种专门为映射到开源包版本和提交散列而设计的格式来描述漏洞。它还收集了来自各种来源的信息，如GitHub咨询数据库（GHSA）和全球安全数据库（GSD）。甚至还有一个称为spdx-osv（https://github.com/spdx/spdx-to-osv）的工具，它从软件包数据交换（SPDX）文档中列出的信息创建一个OSS漏洞JavaScript对象表示法（JSON）文件。

OSV不仅仅是一个在OSV.dev上可用的数据库；它也是一种模式和OSV格式。OSV指出，有许多漏洞数据库，但没有标准化的交换格式（https://ossf.github.io/osv-schema）。如果组织希望拥有广泛的漏洞数据库覆盖，他们必须使每个数据库都有自己独特的格式和模式。这一问题阻碍了软件消费者采用多个数据库，并阻碍了软件生产者将其发布到多个数据库。OSV旨在提供一种所有漏洞数据库都可以围绕的格式，并允许它们之间实现更广泛的互操作性，并减轻希望使用多个漏洞数据库的软件消费者、生产者和安全研究人员的负担。OSV以基于JSON的编码格式运行，具有各种字段细节，如ID、已发布、撤回、相关、摘要和严重性等，包括子字段。