如何关注使用过的开源库的升级、补丁和安全问题?

信息安全 职业教育 工具 已知漏洞 爪哇
2021-08-20 03:36:52

对于一个包含许多开源库的项目,我开始搜索有关所有升级和安全问题的信息源。我收集的来源要么是公告列表,要么是 RSS 提要或邮件列表形式的问题/错误跟踪器,因为它们都可以以某种方式检索和解析,然后收集在一个地方。

问题是,对于这些库中的三分之一,这些库都不可用。所以我想知道,除了 RSS/Atom 提要或邮件列表之外,我还应该跟踪其他可解析的来源吗?

编辑:

我们最近开始手动进行审计,试图列出我们使用的开源库的已知漏洞。为此,决定使用Secunia、Vupen 和 NVD等安全咨询网站,因为信息通常以相关方式格式化。但是,我们希望将来自动化该过程。

与其他来源相比,解析此类网站会更容易和/或带来更多相关信息吗?我知道Secunia对他们网站上的脚本嗅探不那么友好,我想知道其他安全建议是否会出现这种情况,或者其他类型的来源是否会遇到这样的障碍。

4个回答

开源漏洞数据库 ( http://osvdb.org/ ) 很有用。另请参阅此问题的答案

如果库在数以万计的 Ubuntu 软件包中,Ubuntu CVE 跟踪器提供了很好的信息:

http://people.canonical.com/~ubuntu-security/cve/

用于解析 Mitre CVE 数据库和 NVD(国家漏洞数据库)以查找新漏洞并跟踪安全问题的代码位于https://launchpad.net/ubuntu-cve-tracker

您可以在以下位置查看 README 并浏览代码和解析的 CVE

http://bazaar.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master/files

并且您可以使用开源的“bzr”分布式源代码控制系统轻松跟踪它。

正如http://fnords.wordpress.com/2010/09/24/the-real-problem-with-java-in-linux-distros/中所讨论的,Java 的安全和打包问题异常复杂

对于缺少的第三部分,您可以订阅Freecode上的项目(以前称为“Freshmeat”)。

Linux Weekly News上的安全页面漏洞数据库很有用。(如果你这样做,我强烈建议订阅 LWN,它是一个非常有价值的 Linux 信息源和一般的开源,并且没有任何大型、富有的公司支持。)

解决此问题的另一种方法是直接从其官方源代码存储库中签出库并偶尔进行更新。比总是下载和恢复更容易。

您的评估可以用OVAL工具来表达。