Come tenere d'occhio aggiornamenti, patch e problemi di sicurezza per le librerie open-source utilizzate?

29

Per un progetto con molte librerie open-source come parte di esso, ho iniziato a cercare la fonte di informazioni su tutti gli aggiornamenti e le questioni di sicurezza. Il tipo di fonti che ho raccolto sono o elenco di annunci o bug / bug tracker sotto forma di feed RSS o Mailing List, in quanto entrambi possono essere recuperati e analizzati in un modo o nell'altro, e quindi raccolti in un unico posto.

Il problema è che, per un terzo di quelle librerie, nessuna di queste è disponibile. Quindi mi stavo chiedendo, a parte i feed RSS / Atom o Mailing List ci sono altre fonti analizzabili che dovrei monitorare?

Modifica

Di recente abbiamo iniziato a eseguire un controllo manualmente, cercando di elencare le vulnerabilità note delle librerie open source che utilizziamo. Per questo è stato deciso di utilizzare siti di consulenza sulla sicurezza come Secunia, Vupen e NVD , in quanto le informazioni sono generalmente formattate in modo pertinente. Tuttavia, vogliamo automatizzare il processo in futuro.

L'analisi di tali siti sarebbe più facile e / o fornirà informazioni più pertinenti rispetto ad altre fonti? So per certo che Secunia non accetta così gentilmente che uno script annusa sui loro siti e si chiede se sia il caso di altre misure di sicurezza avvisi, o se tale ostacolo potrebbe essere incontrato con altri tipi di fonti.

    
posta Eldros 26.11.2010 - 11:32
fonte

7 risposte

7

Il database di vulnerabilità open source ( link ) è utile. Vedi anche le risposte a questa domanda

Se le librerie sono tra le decine di migliaia di pacchetti Ubuntu, il tracker di Ubuntu CVE fornisce buone informazioni:

link

Il codice per analizzare il database CVE Mitre e il database NVD ( National Vulnerability Database ) per nuove vulnerabilità e tenere traccia dei problemi di sicurezza è < a href="https://launchpad.net/ubuntu-cve-tracker"> link

Puoi vedere il README e sfogliare il codice e i CVE analizzati in

link

e puoi facilmente seguirlo con il sistema di controllo del codice sorgente distribuito "bzr" open source.

Problemi di sicurezza e di imballaggio sono insolitamente complicati per Java come discusso in link

    
risposta data 27.11.2010 - 05:26
fonte
3

Per alcuni sottogruppi del terzo mancante, puoi iscriverti al progetto su Freecode (precedentemente noto come "Freshmeat").

Potresti anche trovare la pagina di sicurezza e Vulnerabilità database alle Notizie settimanali Linux utili. (E se lo fai, ti raccomando caldamente di iscrivermi a LWN, che è una fonte di informazioni molto preziosa per Linux e open source in generale, e non supportata da una grande e ricca compagnia.)

    
risposta data 26.11.2010 - 16:02
fonte
2

Un altro modo per risolvere questo problema è controllare le librerie direttamente dal loro repository di codice sorgente ufficiale e fare aggiornamenti una volta ogni tanto. Più facile che scaricare sempre e facile da ripristinare.

    
risposta data 26.11.2010 - 17:32
fonte
1

La tua valutazione potrebbe essere espressa in uno strumento OVAL .

    
risposta data 26.11.2010 - 12:31
fonte
1

Se sei uno sviluppatore NuGet (in precedenza NuPack) è un software su codeplex che automatizza la gestione delle librerie di terze parti nella tua applicazione.

link

Tutti i pacchetti sono mantenuti qui:

link

Se sei a conoscenza di progetti software (o ne scrivi uno tu stesso) che possono essere incorporati in un "Windows Update" che consente all'IT di monitorare e gestire l'elenco di patch per il software FOSS, ti preghiamo di aggiornare questa domanda con quello che trova!

    
risposta data 26.11.2010 - 19:46
fonte
1

Controllo dipendenza OWASP controlla le tue lib e si confronta con un elenco di vulnerabilità note. "Ha un'interfaccia a riga di comando, un plugin Maven, un'attività Ant e un plugin Jenkins". O come lo descrivono:

Dependency-Check is a utility that identifies project dependencies and checks if there are any known, publicly disclosed, vulnerabilities. Currently Java, .NET, and Python dependencies are supported.

    
risposta data 05.09.2015 - 19:41
fonte
0

Se il tuo progetto è impostato usando Maven puoi aggiungere repository di codice e specchi che vuoi indicizzare.

Sono arrivato fino a questo punto, quindi puoi, ad esempio, specificare nel tuo pom.xml che vuoi usare l'ultima versione di una determinata libreria. Una volta che c'è una nuova versione di quella libreria, il tuo progetto non verrà creato finché non avrai scaricato la libreria nel tuo repository locale.

Ad esempio potresti usare Sonatype Nexus Maven Repository per gestire tutti i tuoi repository. Quindi potresti facilmente analizzare il visualizzatore del repository di Nexus per scoprire se ci sono stati aggiornamenti. Non sono sicuro che Nexus abbia un RSS incorporato.

    
risposta data 30.11.2010 - 07:57
fonte