Ken641228的部落格

（來自：Google Security Blog）

項目啟動初期，OSV 主要涵蓋瞭 OSS-Fuzz 服務發現的模糊漏洞數據集。可知在“瞭解、預防、修復”的框架下，該公司的漏洞管理工作也迎來瞭相當大的改進。

谷歌表示，對於開源軟件的使用者和維護者來說，漏洞管理都是一件相當痛苦的事情 —— 比如難以快速分辨“常見漏洞披露”（CVE）條目是否與當前使用的版本有關，且大多都涉及繁瑣的勞動。

主要原因是，現有漏洞管理標準中的“版本控制方案”（CPE）無法與實際的開源版本方案實現完美映射（版本 / 標簽 / 哈希值等），結果導致下遊消費者也受累於此。

OSV 流程示意

對於開源軟件的維護人員來說，除瞭發佈所需的遵循的標準流程，仍需費心費力地確定所有受影響的在用版本、或跨各種分支的準確提交列表。

遺憾的是，對於大多數“用愛發電”的開源項目來說，維護者不僅缺乏至關重要的現代基礎設施等資源，也難以在有心無力的情況下付出足夠多的精力去洞察詳情。

好消息是，谷歌發起的 OSV 項目，就旨在幫助開源軟件使用者和維護者及時整合重要的安全修復程序。

（OSV 官網：傳送門）

由谷歌分享的流程圖和實例代碼可知，OSV 不僅借助瞭自動化流程來減輕開源軟件維護者的漏洞修復工作，還致力於通過易於使用的數據庫，來提升下遊使用者的漏洞查詢精確性。

在確定瞭受影響的軟件版本之後，OSV 將要求維護者在提交修復時，附上援引的相關內容。若該信息不可能，OSV 也會要求提供提供再現測試用例和步驟，然後智能地幫助分析和查找受影響的范圍。

目前 OSV 已經提供瞭與 OSS-Fuzz 的緊密集成，涵蓋瞭 380 多款重要開源軟件項目的漏洞詳情。之後還將與開源社區展開更深入的合作，以囊括跨各種語言的生態系統數據（比如 NPM 和 PyPI）。