对于一个包含许多开源库的项目,我开始搜索有关所有升级和安全问题的信息源。我收集的来源要么是公告列表,要么是 RSS 提要或邮件列表形式的问题/错误跟踪器,因为它们都可以以某种方式检索和解析,然后收集在一个地方。
问题是,对于这些库中的三分之一,这些库都不可用。所以我想知道,除了 RSS/Atom 提要或邮件列表之外,我还应该跟踪其他可解析的来源吗?
编辑:
我们最近开始手动进行审计,试图列出我们使用的开源库的已知漏洞。为此,决定使用Secunia、Vupen 和 NVD等安全咨询网站,因为信息通常以相关方式格式化。但是,我们希望将来自动化该过程。
与其他来源相比,解析此类网站会更容易和/或带来更多相关信息吗?我知道Secunia对他们网站上的脚本嗅探不那么友好,我想知道其他安全建议是否会出现这种情况,或者其他类型的来源是否会遇到这样的障碍。