Google今天宣布擴(kuò)展開(kāi)源漏洞（OSV）數(shù)據(jù)庫(kù)，使用“精確描述漏洞”的統(tǒng)一模式納入Python,、Rust,、Go 和 DWF 等更多開(kāi)源項(xiàng)目的數(shù)據(jù)。雖然開(kāi)源軟件存在諸多優(yōu)勢(shì),，但漏洞問(wèn)題也日益突顯,。

絕大多數(shù)代碼庫(kù)至少包含一個(gè)已知的開(kāi)源漏洞，而本周的一份報(bào)告認(rèn)為更多的時(shí)候,，開(kāi)發(fā)人員在將第三方庫(kù)納入他們的軟件后并沒(méi)有更新它們,。該報(bào)告還指出,，92% 的開(kāi)源庫(kù)缺陷可以通過(guò)簡(jiǎn)單的更新輕松修復(fù)。

　　開(kāi)源軟件影響著幾乎所有的人,，無(wú)處不在,。從小型創(chuàng)業(yè)公司到大型企業(yè)，公司在他們的大部分應(yīng)用中都依賴(lài)社區(qū)驅(qū)動(dòng)的組件,。因此,，確保開(kāi)源軟件得到適當(dāng)?shù)木S護(hù)，符合每個(gè)人的利益,。

　　今年 2 月,，Google推出了開(kāi)源漏洞數(shù)據(jù)庫(kù)（Open Source Vulnerabilities，簡(jiǎn)稱(chēng) OSV）,。Google稱(chēng)這是為開(kāi)發(fā)者和其他開(kāi)源消費(fèi)者“改善漏洞分流（vulnerability triage）的第一步”,。漏洞分流是對(duì)軟件組件中的已知缺陷按其對(duì)使用該組件的應(yīng)用程序構(gòu)成的風(fēng)險(xiǎn)進(jìn)行評(píng)估和排序的過(guò)程。

　　今天,，Google正在擴(kuò)展 OSV,，包括來(lái)自主要開(kāi)源項(xiàng)目的漏洞數(shù)據(jù)庫(kù)，包括Python,、Rust,、Go和DWF。從多個(gè)開(kāi)源數(shù)據(jù)庫(kù)匯總數(shù)據(jù)的主要挑戰(zhàn)之一是,，它們可能遵守不同的格式,，通常由個(gè)別組織創(chuàng)建。這種分布式的模式使得統(tǒng)一并以通用語(yǔ)言描述漏洞變得更加困難,。因此，Google與更廣泛的開(kāi)源社區(qū)一起,，一直在研究一個(gè) “漏洞交換模式”,，以人類(lèi)和自動(dòng)化工具都能使用的格式來(lái)描述各開(kāi)源項(xiàng)目的漏洞。

　　Google軟件工程師 Oliver Chang 告訴 VentureBeat：“他們的反饋有助于迭代,、改進(jìn)和普及該格式,。”在該格式處于穩(wěn)定狀態(tài)后,，他們對(duì)其現(xiàn)有的漏洞數(shù)據(jù)集進(jìn)行了一些修改,，以匹配OSV模式格式。這允許在OSV服務(wù)中聚合他們的數(shù)據(jù)集,，任何人都可以用它來(lái)查詢(xún)其開(kāi)源依賴(lài)的漏洞“,。