Ho fatto qualcosa di simile qualche tempo fa per assicurarci di tenere il passo con gli aggiornamenti di sicurezza. È tutto manuale, però: non posso aiutarti ad automatizzarlo, ma posso dirti quanto mi ci è voluto e dare un esempio di cosa ho finito usando.
La configurazione iniziale ha richiesto un paio di giorni (usiamo > 75 librerie), e da allora è stata solo un'ora o meno a settimana per mantenerla (senza contare il tempo per aggiornare effettivamente le librerie che usiamo). Ho finito con una matrice in un foglio di calcolo, con una riga per ogni libreria che abbiamo usato. Quindi le colonne erano:
- versione che usiamo
- ultima versione che ho controllato
- File NEWS (eventuali problemi identificati dalla scansione di NEWS o altri file readme forniti dalla libreria)
- CVE (noto per esistere nella nostra versione)
- ultima versione disponibile dal nostro fornitore (non tiriamo direttamente da upstream)
- lo stato, che dice "OK" se NEWS e CVE sono vuoti e l'ultima versione verificata corrisponde all'ultima versione disponibile, oppure l'ho impostato manualmente su un altro stato come "necessita di una correzione futura" o qualsiasi altra cosa appropriata
- note
Ho compilato il tavolo con le nostre librerie e le loro versioni, quindi scaricato il database CVE completo in formato di testo e utilizzato un buon editor di testo per cercarlo per ciascuna delle nostre applicazioni. Se esistevano CVE per le nostre librerie, li ho elencati nella colonna CVE e aggiunto note sulla versione in cui sono stati corretti e / o sul perché ci hanno applicato (o nel caso di alcuni CVE ben noti, perché non ha fatto ).
Ho anche sfogliato i file NEWS per la maggior parte delle librerie che avevano versioni più recenti disponibili rispetto a quello che stavamo usando, anche se ho rinunciato a questo dopo un po 'quando non ha prodotto nulla di utile che non fosse già stato acquisito in un CVE.
Poi mi sono iscritto a un feed RSS di CVE appena categorizzati . È un volume piuttosto basso, anche se alquanto scoppiato, quindi quando entrano nuovi CVE li scannerizzo rapidamente per problemi e aggiorno il mio foglio di calcolo se c'è qualcosa che si applica a noi.
Ho anche fatto un cron job per scansionare un diverso elenco di CVE appena archiviati , ma ciò non sembra aggiungere altro valore oltre a quello fornito dal feed RSS di NVD.