Mit Open Source Vulnerabilities (OSV) hat Google eine Datenbank zu Schwachstellen in Open Source Software gestartet. Dort sollen sich präzise Daten darüber finden, wann Sicherheitslücken eingeführt und gefixt wurden.
Anwender sollen so ein Instrument an die Hand bekommen, mit dem sie prüfen können, ob ihre Software von Sicherheitsproblemen betroffen ist, heißt es im Google-Blog. Die Datenbasis zum Start stammt von Googles Test-Tool OSS-Fuzz, später sollen weitere Daten aus verschiedenen Quellen hinzukommen wie etwa Go, NPM, PyPi. Laut Google beinhaltet OSV derzeit etwa 25.000 Schwachstellen aus über 380 kritischen Open-Source-Projekten. Die meisten davon sind in C und C++ geschrieben.
Nutzer sollen sich via API über ihre Software informieren können, indem sie eine Abfrage an OSV senden, die eine Paketversion oder einen Commit-Hash beinhaltet. Dafür braucht es aber einen API-Key von Googles Cloud Console. Die Metadaten der Schwachstelle werden dann in maschinenlesbarem JSON-Format zurückgegeben.
Die OSV-Webseite findet sich hier. Das Projekt ist unter der Apache-Lizenz auf Github zu finden. Es gibt auch eine Mailingliste.
