Otwarta baza z dziurami

Open Source Vulnerability Database (OSVDB) to nowa, otwarta, internetowa baza danych o błędach w oprogramowaniu. Zgodnie z założeniami projektu OSVDB ma być miejscem, gdzie będą się pojawiać zweryfikowane informacje na temat luk, pochodzące z setek raportów publikowanych na stronach różnych firm, odpowiadających za bezpieczeństwo. Dostęp do bazy będzie bezpłatny na podstawie licencji open source.

"Istnienie niezależnego i wiarygodnego źródła informacji o lukach w oprogramowaniu będzie korzystne dla wszystkich. Nowa baza pozwoli porównywać informacje ze źródeł komercyjnych z informacjami dostarczanymi przez środowisko open source. Ponieważ OSVDB agreguje informacje z wielu źródeł, skróci się czas wyszukiwania informacji o błędach" - mówią twórcy OSVDB.

Agregowanie informacji to rzeczywiście duża zaleta OSVDB. Zgodnie z danymi CERT od 1995 r. liczba informacji o lukach wzrosła prawie dwudziestokrotnie.

Zobacz również:

  • Bumblebee: serce całego ekosystemu ransomware
  • 5 produktów VMware wymaga załatania poważnych luk w zabezpieczeniach
  • Trwają prace nad stworzeniem kosmicznego standardu będącego kalką USB

Na razie baza OSVDB będzie się opierać przede wszystkim na danych z innych źródeł, ambicją zespołu jest jednak stworzenie własnej bazy informacji. Na dłuższą metę będzie to konieczne, ponieważ rozstrzygnięcia będą wymagać problemy związane z licencjonowaniem dostępu do komercyjnych witryn tego rodzaju.

Tak jak inne inicjatywy open source, OSVDB będzie opierać się na wysiłku ochotników zajmujących się na co dzień bezpieczeństwem. Bezpośrednią koordynację projektu będzie prowadzić ok. 30 osób - ich zadanie to weryfikacja i edycja informacji ukazujących się w serwisie. Na razie zespołowi OSVDB udało się skatalogować ok. 1,9 tys. luk. Trwa weryfikowanie 2,7 tys. kolejnych. "Długofalowe powodzenie projektu zależy od zatrudnienia przy projekcie kolejnych ochotników" - twierdzą przedstawiciele OSVDB.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200