获取有关 X 设备存在或曾经存在的漏洞的信息的最有效/最佳方法是什么？

检查供应商的安全公告页面总是一个好的开始，他们知道的任何事情通常都会在那里进行。例如，这里是思科安全公告页面的链接。

除了检查安全公告页面，我还能做些什么吗？

就在这里。例如，任何“主要”漏洞都将被分配一个CVE，这些也将非常有助于确定特定产品是否具有 X 漏洞。一个很好的资源是CVE 详细信息

如果没有安全咨询页面，我还能去哪里？

如果供应商页面上没有安全建议，那么一些事情可能适用。

• 供应商还不知道他们是否受到影响。
• 他们不知道这个漏洞。
• 他们不受影响。

在这种情况下你应该怎么做？一个好主意是联系供应商支持团队。回到 Cisco 示例，您可以使用Cisco TAC。这将适用于所有供应商，如果有问题的设备上没有公开信息，您最好的机会是联系他们的支持团队并找出答案。

如果他们不知道该漏洞，最好将问题告知他们，特别是如果您在进行一些挖掘时发现它并且它显得晦涩难懂。如果您无法从供应商自己那里找到任何资源（无论他们是否知道）通知他们，我几乎可以肯定地说这会有所帮助。在 Cisco 示例中，您可以联系产品安全事件响应团队

我可以使用哪些好的资源来查找此类漏洞？

除了提到的网站之外，您还可以使用很多网站，@Elsadek 提到的以下两个网站也可能会有所帮助。

• 安全焦点
• 漏洞利用数据库

您还可以使用 @Forest 提到的 CVE 检查器。

• CVECheck-工具
• CVEChecker

另一个想法可能是订阅一个安全邮件列表，如下面的 @Forest 最初提到的。

开源安全邮件列表

这很笼统，但是您可以使用更具体的，正如我之前提到的，您可以订阅 Ciscos。

有多个实用程序可以根据公共 CVE 数据库检查已安装的软件，例如cve-check-tool和cvechecker。这些工具会将您报告的软件版本与已知易受攻击的版本进行比较，但不会尝试利用您的软件。许多 Linux 发行版还保留一份特定于发行版的安全建议列表。当您使用具有已知安全问题的软件时，他们的包管理器通常可以配置为记录实例。

您还可以查看各种咨询网站。有些，如cvedetails，很容易搜索，但并不总是最新或完整的。更多特定于供应商的建议（例如DSA for Debian）更详细、更全面。您还可以简单地搜索软件的名称和版本以及“cve”一词，以获得许多相关结果。这是我经常做的。另一种技术是阅读软件的安全邮件列表或更通用的面向安全的邮件列表，如oss-sec，其中讨论了流行开源软件的漏洞。

一个好的策略是订阅您正在操作的技术堆栈的安全邮件列表，这可以通过供应商网站或使用更新的第三方漏洞数据库（如SecurityFocus和 Exploits Database ）来完成。

在SecurityFocus 上，您可以按供应商和产品版本浏览漏洞历史记录。

如果没有安全咨询页面，我还能去哪里？

在这种情况下，您可能是最先发现该漏洞的用户之一，或者您不太可能被意外通知了一个未公开的漏洞。

在这种情况下，您唯一需要做的（如果您是好人 :)）就是联系供应商。

我同意以上所有观点。此外，您可以使用https://vulners.com/搜索产品（即使具有特定版本号）。

Vulners 基本上列举了 CVE 和漏洞报告以及来自互联网的安全博客和帖子。然后，您可以搜索这些文档中可能包含的任何内容。

我开始使用它是因为它们强大的 API，这让事情变得更加容易。我相信他们也有设置漏洞扫描程序的方法。