使用されているオープンソースライブラリのアップグレード、パッチ、セキュリティの問題を監視する方法は？

オープンソースの脆弱性データベース（ http://osvdb.org/ ）は便利です。 この質問への回答も参照してください

ライブラリが数万のUbuntuパッケージの1つである場合、Ubuntu CVEトラッカーは適切な情報を提供します。

http://people.canonical.com/~ubuntu-security/cve/

Miter CVEデータベースとNVD（ National Vulnerability Database ）を解析して新しい脆弱性を検出し、セキュリティ問題を追跡するコードは https://launchpad.net/ubuntu-cve-tracker

あなたはREADMEを見て、コードと解析されたCVEを閲覧することができます

http://Bazaar.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master/files

オープンソースの「bzr」分散ソース管理システムで簡単に追跡できます。

Java で説明されているように）のセキュリティとパッケージの問題は非常に複雑ですhttp://fnords.wordpress.com/2010/09/24/the-real-問題のあるJavaのLinuxディストリビューション/

不足している3分の1のサブセットについては、プロジェクトを Freecode （以前は "Freshmeat"と呼ばれていました）でサブスクライブできます。

Linuxウィークリーニュース で セキュリティページ および 脆弱性データベース を見つけることもできます。 （もしそうなら、私はLWNを購読することを強くお勧めします。LWNは、Linuxやオープンソース全般にとって非常に貴重な情報源であり、大規模で裕福な会社に支えられていません。）

これに対処するもう1つの方法は、公式のソースコードリポジトリからライブラリを直接チェックアウトし、時々更新を行うことです。いつもより簡単にダウンロードでき、簡単に元に戻すことができます。

OWASP依存関係チェック ライブラリをチェックし、既知の脆弱性のリストと比較します。 「コマンドラインインターフェース、Mavenプラグイン、Antタスク、およびJenkinsプラグインを備えています。」または彼らがそれを説明するように：

Dependency-Checkは、プロジェクトの依存関係を識別し、既知の公開されている脆弱性があるかどうかをチェックするユーティリティです。現在、Java、.NET、およびPython依存関係がサポートされています。

評価は [〜＃〜] oval [〜＃〜] ツールで表現できる場合があります。

あなたが開発者である場合NuGet（以前のNuPack）は、アプリケーション内のサードパーティライブラリの管理を自動化するcodeplex上のソフトウェアです。

http://nuget.codeplex.com/

すべてのパッケージはここで維持されます：

http://nupackpackages.codeplex.com/

ITがFOSSソフトウェアのパッチリストを監視および管理できるようにする「Windows Update」に組み込むことができるソフトウェアプロジェクトを知っている（または自分で作成する）場合は、この質問を更新してください。

プロジェクトが Maven を使用して設定されている場合は、インデックスを作成するコードリポジトリとミラーを追加できます。

ここまで来たら、たとえば、pom.xml特定のライブラリの最新リリースを使用したい。そのライブラリの新しいリリースがあると、ライブラリを自分のローカルリポジトリにダウンロードするまで、プロジェクトはビルドされません。

たとえば、 Sonatype Nexus Maven Repository を使用して、すべてのリポジトリを管理できます。その後、Nexusのリポジトリビューアを簡単に解析して、更新があったかどうかを確認できます。 NexusにRSSが組み込まれているかどうかはわかりません。