OSV と CPE
炭治郎です。コロナ2日目です。
自分は知らなかったのですが、 Google が2021年2月に
OSV (Open Source Vulnerabilities
) と言う脆弱性DBを公開していました。
https://opensource.googleblog.com/2021/02/launching-osv-better-vulnerability.html
この OSV に触れた国内記事はそれほど多くなく、 記事の内容自体も OSS-Fuzz について触れているケースが多そうでした。
ただ、自分的にはその点よりも以下の CPE の課題を解決してくれる点というのが非常に良さそうだと思いました。
This comes from the fact that versioning schemes in existing vulnerability standards (such as Common Platform Enumeration (CPE)) do not map well with the actual open source versioning schemes, which are typically versions/tags and commit hashes.
意訳すると、 CPE などが package manager 上の package 名などと対応していない問題があり、 それを OSV によって解決するという感じです。
この点について、既存のCPEを元にしたパッケージの特定の限界と、 OSV が良さそうという話をしてみようと思います。
続きを読む