Strumenti per rendere la vita dei ricercatori della sicurezza più semplice - monitoraggio della ricerca sulle vulnerabilità [chiusa]

2

Sono stato uno sviluppatore per un po 'di tempo e, come parte del mio processo di apprendimento continuo, ho imparato a individuare e correggere codice (insicuro) scritto da altri. Recentemente, mi sono ritrovato a scavare attraverso progetti casuali e ad annotare problemi di sicurezza che ho individuato, che vanno da XSS, a SQLI, caricatori non sicuri a problemi di esecuzione di comandi arbitrari in piena regola, e mi sono ritrovato a voler essere un po 'più organizzato.

Nella mia professione, facciamo un uso pesante di Jira e altri strumenti organizzativi di questo tipo, ma non posso fare a meno di pensare che Jira non sia solo un po 'TROPPO interessante per ciò di cui voglio tenere traccia. Le informazioni che vorrei tracciare sarebbero sulla falsariga di "Identificazione del target- > Definizione della vulnerabilità- > Assegnazione CVE- > Rilevazione della risoluzione / Divulgazione".

Ci sono progetti open source là fuori che tu, come ricercatori di sicurezza, usi per tenere traccia delle vulnerabilità scoperte e dei loro progressi attraverso la loro vita di scoperta / divulgazione? C'è un vuoto nel "mercato" qui - il settore potrebbe trarre beneficio da uno strumento creato per rendere più semplice la vita del ricercatore della sicurezza?

In attesa di opinioni che tutti voi volete gettare ...

    
posta Seidr 21.07.2014 - 15:58
fonte

1 risposta

3

Qualsiasi software di tracciamento dei bug è lo standard per questo strumento. Le vulnerabilità che trovi sono semplicemente "bug". Assegna severità, monitora la risposta del fornitore e il follow-up e dettaglia tutti i problemi all'interno dello strumento.

Github, bugzilla, Jira, ecc. Scegli lo strumento che corrisponde alle tue esigenze e al tuo flusso di lavoro.

    
risposta data 21.07.2014 - 16:52
fonte

Leggi altre domande sui tag