OSV 形式で利用可能に
2024年6月11日、Canonical は Ubuntu のセキュリティー情報を OSV 形式で提供すると発表しました。
Ubuntu とセキュリティーアップデート
Ubuntu ではセキュリティーアップデートがリリースされると、そのアップデートに対応した USN(Ubuntu Security Notice)が発行されるようになっています。USN には CVE など、脆弱性に関する詳細情報が記述されています。
ちなみに Ubuntu では、セキュリティーアップデート情報を OVAL(Open Vulnerability and Assessment Language)形式でも提供しています。
OSV
OSV(Open Source Vulnerability) は、オープンソースソフトウェアの脆弱性管理にかかる負担や煩雑さを低減するための取り組み及び仕組みです。今やオープンソースソフトウェアは幅広く活用されているソフトウェアであり、また昨今のセキュリティーインシデントや、実際の機密情報漏洩など、特に企業にとって脆弱性は大きな問題に繋がります。
Canonical は Ubuntu のセキュリティー強化のため OSV プロジェクトと連携し、 OSV に対応しました。
OSV ツール
OSV は脆弱性情報を提供するだけの仕組みではありません。OSV と連携して脆弱性を検出するなど、ツールの提供も行っています。
例えば脆弱性をスキャンする OSV-Scanner が提供されています。
