Monitoraggio della vulnerabilità nella libreria del software

4

Sto cercando di migliorare l'aspetto della sicurezza di un'app Web in particolare rispetto a OWASP A9 - Utilizzo di componenti con vulnerabilità note.

Qualcuno è a conoscenza di qualsiasi fonte di dati completa oltre al DB NVD / CVE che potrei usare invece di fare affidamento sul venditore / autore di ogni biblioteca? Il NVD è tutt'altro che completo, e la ricerca manuale di ogni sito è noiosa, quindi spero di trovare qualche metodo migliore (non prodotto o servizio) per accedervi.

    
posta Jesse K 05.04.2016 - 16:12
fonte

2 risposte

3

Ho fatto qualcosa di simile qualche tempo fa per assicurarci di tenere il passo con gli aggiornamenti di sicurezza. È tutto manuale, però: non posso aiutarti ad automatizzarlo, ma posso dirti quanto mi ci è voluto e dare un esempio di cosa ho finito usando.

La configurazione iniziale ha richiesto un paio di giorni (usiamo > 75 librerie), e da allora è stata solo un'ora o meno a settimana per mantenerla (senza contare il tempo per aggiornare effettivamente le librerie che usiamo). Ho finito con una matrice in un foglio di calcolo, con una riga per ogni libreria che abbiamo usato. Quindi le colonne erano:

  • versione che usiamo
  • ultima versione che ho controllato
  • File NEWS (eventuali problemi identificati dalla scansione di NEWS o altri file readme forniti dalla libreria)
  • CVE (noto per esistere nella nostra versione)
  • ultima versione disponibile dal nostro fornitore (non tiriamo direttamente da upstream)
  • lo stato, che dice "OK" se NEWS e CVE sono vuoti e l'ultima versione verificata corrisponde all'ultima versione disponibile, oppure l'ho impostato manualmente su un altro stato come "necessita di una correzione futura" o qualsiasi altra cosa appropriata
  • note

Ho compilato il tavolo con le nostre librerie e le loro versioni, quindi scaricato il database CVE completo in formato di testo e utilizzato un buon editor di testo per cercarlo per ciascuna delle nostre applicazioni. Se esistevano CVE per le nostre librerie, li ho elencati nella colonna CVE e aggiunto note sulla versione in cui sono stati corretti e / o sul perché ci hanno applicato (o nel caso di alcuni CVE ben noti, perché non ha fatto ).

Ho anche sfogliato i file NEWS per la maggior parte delle librerie che avevano versioni più recenti disponibili rispetto a quello che stavamo usando, anche se ho rinunciato a questo dopo un po 'quando non ha prodotto nulla di utile che non fosse già stato acquisito in un CVE.

Poi mi sono iscritto a un feed RSS di CVE appena categorizzati . È un volume piuttosto basso, anche se alquanto scoppiato, quindi quando entrano nuovi CVE li scannerizzo rapidamente per problemi e aggiorno il mio foglio di calcolo se c'è qualcosa che si applica a noi.

Ho anche fatto un cron job per scansionare un diverso elenco di CVE appena archiviati , ma ciò non sembra aggiungere altro valore oltre a quello fornito dal feed RSS di NVD.

    
risposta data 05.04.2016 - 19:03
fonte
1

Security Tracker ha una capacità di ricerca per combattere più fonti per le vulnerabilità segnalate:

link

Buona fortuna!

modifica: scusa, ST non cerca siti eterni, tutto è interno alla ST stessa. Personalmente lo uso come una fonte di informazioni (versione gratuita). Non sono sicuro del motivo per cui sto andando giù votato.

    
risposta data 05.04.2016 - 20:36
fonte

Leggi altre domande sui tag