Per un progetto con molte librerie open-source come parte di esso, ho iniziato a cercare la fonte di informazioni su tutti gli aggiornamenti e le questioni di sicurezza. Il tipo di fonti che ho raccolto sono o elenco di annunci o bug / bug tracker sotto forma di feed RSS o Mailing List, in quanto entrambi possono essere recuperati e analizzati in un modo o nell'altro, e quindi raccolti in un unico posto.
Il problema è che, per un terzo di quelle librerie, nessuna di queste è disponibile. Quindi mi stavo chiedendo, a parte i feed RSS / Atom o Mailing List ci sono altre fonti analizzabili che dovrei monitorare?
Modifica
Di recente abbiamo iniziato a eseguire un controllo manualmente, cercando di elencare le vulnerabilità note delle librerie open source che utilizziamo. Per questo è stato deciso di utilizzare siti di consulenza sulla sicurezza come Secunia, Vupen e NVD , in quanto le informazioni sono generalmente formattate in modo pertinente. Tuttavia, vogliamo automatizzare il processo in futuro.
L'analisi di tali siti sarebbe più facile e / o fornirà informazioni più pertinenti rispetto ad altre fonti? So per certo che Secunia non accetta così gentilmente che uno script annusa sui loro siti e si chiede se sia il caso di altre misure di sicurezza avvisi, o se tale ostacolo potrebbe essere incontrato con altri tipi di fonti.