web-dev-qa-db-ja.com

使用されているオープンソースライブラリのアップグレード、パッチ、セキュリティの問題を監視する方法は?

多くのオープンソースライブラリが含まれているプロジェクトの場合、すべてのアップグレードとセキュリティの問題に関する情報源を探し始めました。私が収集したソースの種類は、RSSフィードまたはメーリングリストの形式のアナウンスメントリストまたは問題/バグトラッカーのいずれかであり、何らかの方法で取得および解析されてから、1つの場所に収集されます。

問題は、これらのライブラリの3分の1について、これが利用できないことです。 RSS/Atomフィードやメーリングリスト以外に、追跡する必要がある解析可能なソースは他にあるのでしょうか。

編集:

最近、手動で監査を開始し、使用しているオープンソースライブラリの既知の脆弱性をリストアップしようとしています。そのため、情報は一般的に適切な方法でフォーマットされているため、 Secunia、Vupen、NVD などのセキュリティ勧告サイトを使用することが決定されました。ただし、将来的にはプロセスを自動化したいと考えています。

他のソースと比較した場合、そのようなサイトの解析はより簡単であり、および/またはより関連性の高い情報をもたらすでしょうか? Secunia は親切にスクリプトがサイトを傍受しないことを知っており、他のセキュリティアドバイザリに当てはまるのか、または他のハードルでこのようなハードルに遭遇するのではないかと疑問に思いましたソースの種類。

29
Eldros

オープンソースの脆弱性データベース( http://osvdb.org/ )は便利です。 この質問への回答も参照してください

ライブラリが数万のUbuntuパッケージの1つである場合、Ubuntu CVEトラッカーは適切な情報を提供します。

http://people.canonical.com/~ubuntu-security/cve/

Miter CVEデータベースとNVD( National Vulnerability Database )を解析して新しい脆弱性を検出し、セキュリティ問題を追跡するコードは https://launchpad.net/ubuntu-cve-tracker

あなたはREADMEを見て、コードと解析されたCVEを閲覧することができます

http://Bazaar.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master/files

オープンソースの「bzr」分散ソース管理システムで簡単に追跡できます。

Java で説明されているように)のセキュリティとパッケージの問題は非常に複雑ですhttp://fnords.wordpress.com/2010/09/24/the-real-問題のあるJavaのLinuxディストリビューション/

7
nealmcb

不足している3分の1のサブセットについては、プロジェクトを Freecode (以前は "Freshmeat"と呼ばれていました)でサブスクライブできます。

Linuxウィークリーニュースセキュリティページ および 脆弱性データベース を見つけることもできます。 (もしそうなら、私はLWNを購読することを強くお勧めします。LWNは、Linuxやオープンソース全般にとって非常に貴重な情報源であり、大規模で裕福な会社に支えられていません。)

3
mattdm

これに対処するもう1つの方法は、公式のソースコードリポジトリからライブラリを直接チェックアウトし、時々更新を行うことです。いつもより簡単にダウンロードでき、簡単に元に戻すことができます。

2
Olivier Lalonde

OWASP依存関係チェック ライブラリをチェックし、既知の脆弱性のリストと比較します。 「コマンドラインインターフェース、Mavenプラグイン、Antタスク、およびJenkinsプラグインを備えています。」または彼らがそれを説明するように:

Dependency-Checkは、プロジェクトの依存関係を識別し、既知の公開されている脆弱性があるかどうかをチェックするユーティリティです。現在、Java、.NET、およびPython依存関係がサポートされています。

1
David Balažic

評価は [〜#〜] oval [〜#〜] ツールで表現できる場合があります。

1
user185

あなたが開発者である場合NuGet(以前のNuPack)は、アプリケーション内のサードパーティライブラリの管理を自動化するcodeplex上のソフトウェアです。

http://nuget.codeplex.com/

すべてのパッケージはここで維持されます:

http://nupackpackages.codeplex.com/

ITがFOSSソフトウェアのパッチリストを監視および管理できるようにする「Windows Update」に組み込むことができるソフトウェアプロジェクトを知っている(または自分で作成する)場合は、この質問を更新してください。

1

プロジェクトが Maven を使用して設定されている場合は、インデックスを作成するコードリポジトリとミラーを追加できます。

ここまで来たら、たとえば、pom.xml特定のライブラリの最新リリースを使用したい。そのライブラリの新しいリリースがあると、ライブラリを自分のローカルリポジトリにダウンロードするまで、プロジェクトはビルドされません。

たとえば、 Sonatype Nexus Maven Repository を使用して、すべてのリポジトリを管理できます。その後、Nexusのリポジトリビューアを簡単に解析して、更新があったかどうかを確認できます。 NexusにRSSが組み込まれているかどうかはわかりません。

0
Chris Dale