Sono stato uno sviluppatore per un po 'di tempo e, come parte del mio processo di apprendimento continuo, ho imparato a individuare e correggere codice (insicuro) scritto da altri. Recentemente, mi sono ritrovato a scavare attraverso progetti casuali e ad annotare problemi di sicurezza che ho individuato, che vanno da XSS, a SQLI, caricatori non sicuri a problemi di esecuzione di comandi arbitrari in piena regola, e mi sono ritrovato a voler essere un po 'più organizzato.
Nella mia professione, facciamo un uso pesante di Jira e altri strumenti organizzativi di questo tipo, ma non posso fare a meno di pensare che Jira non sia solo un po 'TROPPO interessante per ciò di cui voglio tenere traccia. Le informazioni che vorrei tracciare sarebbero sulla falsariga di "Identificazione del target- > Definizione della vulnerabilità- > Assegnazione CVE- > Rilevazione della risoluzione / Divulgazione".
Ci sono progetti open source là fuori che tu, come ricercatori di sicurezza, usi per tenere traccia delle vulnerabilità scoperte e dei loro progressi attraverso la loro vita di scoperta / divulgazione? C'è un vuoto nel "mercato" qui - il settore potrebbe trarre beneficio da uno strumento creato per rendere più semplice la vita del ricercatore della sicurezza?
In attesa di opinioni che tutti voi volete gettare ...