多くのオープンソースライブラリが含まれているプロジェクトの場合、すべてのアップグレードとセキュリティの問題に関する情報源を探し始めました。私が収集したソースの種類は、RSSフィードまたはメーリングリストの形式のアナウンスメントリストまたは問題/バグトラッカーのいずれかであり、何らかの方法で取得および解析されてから、1つの場所に収集されます。
問題は、これらのライブラリの3分の1について、これが利用できないことです。 RSS/Atomフィードやメーリングリスト以外に、追跡する必要がある解析可能なソースは他にあるのでしょうか。
編集:
最近、手動で監査を開始し、使用しているオープンソースライブラリの既知の脆弱性をリストアップしようとしています。そのため、情報は一般的に適切な方法でフォーマットされているため、 Secunia、Vupen、NVD などのセキュリティ勧告サイトを使用することが決定されました。ただし、将来的にはプロセスを自動化したいと考えています。
他のソースと比較した場合、そのようなサイトの解析はより簡単であり、および/またはより関連性の高い情報をもたらすでしょうか? Secunia は親切にスクリプトがサイトを傍受しないことを知っており、他のセキュリティアドバイザリに当てはまるのか、または他のハードルでこのようなハードルに遭遇するのではないかと疑問に思いましたソースの種類。
オープンソースの脆弱性データベース( http://osvdb.org/ )は便利です。 この質問への回答も参照してください
ライブラリが数万のUbuntuパッケージの1つである場合、Ubuntu CVEトラッカーは適切な情報を提供します。
http://people.canonical.com/~ubuntu-security/cve/
Miter CVEデータベースとNVD( National Vulnerability Database )を解析して新しい脆弱性を検出し、セキュリティ問題を追跡するコードは https://launchpad.net/ubuntu-cve-tracker
あなたはREADMEを見て、コードと解析されたCVEを閲覧することができます
http://Bazaar.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master/files
オープンソースの「bzr」分散ソース管理システムで簡単に追跡できます。
不足している3分の1のサブセットについては、プロジェクトを Freecode (以前は "Freshmeat"と呼ばれていました)でサブスクライブできます。
Linuxウィークリーニュース で セキュリティページ および 脆弱性データベース を見つけることもできます。 (もしそうなら、私はLWNを購読することを強くお勧めします。LWNは、Linuxやオープンソース全般にとって非常に貴重な情報源であり、大規模で裕福な会社に支えられていません。)
これに対処するもう1つの方法は、公式のソースコードリポジトリからライブラリを直接チェックアウトし、時々更新を行うことです。いつもより簡単にダウンロードでき、簡単に元に戻すことができます。
OWASP依存関係チェック ライブラリをチェックし、既知の脆弱性のリストと比較します。 「コマンドラインインターフェース、Mavenプラグイン、Antタスク、およびJenkinsプラグインを備えています。」または彼らがそれを説明するように:
Dependency-Checkは、プロジェクトの依存関係を識別し、既知の公開されている脆弱性があるかどうかをチェックするユーティリティです。現在、Java、.NET、およびPython依存関係がサポートされています。
評価は [〜#〜] oval [〜#〜] ツールで表現できる場合があります。
あなたが開発者である場合NuGet(以前のNuPack)は、アプリケーション内のサードパーティライブラリの管理を自動化するcodeplex上のソフトウェアです。
すべてのパッケージはここで維持されます:
http://nupackpackages.codeplex.com/
ITがFOSSソフトウェアのパッチリストを監視および管理できるようにする「Windows Update」に組み込むことができるソフトウェアプロジェクトを知っている(または自分で作成する)場合は、この質問を更新してください。
プロジェクトが Maven を使用して設定されている場合は、インデックスを作成するコードリポジトリとミラーを追加できます。
ここまで来たら、たとえば、pom.xml
特定のライブラリの最新リリースを使用したい。そのライブラリの新しいリリースがあると、ライブラリを自分のローカルリポジトリにダウンロードするまで、プロジェクトはビルドされません。
たとえば、 Sonatype Nexus Maven Repository を使用して、すべてのリポジトリを管理できます。その後、Nexusのリポジトリビューアを簡単に解析して、更新があったかどうかを確認できます。 NexusにRSSが組み込まれているかどうかはわかりません。