In questo caso, ho un elenco di nomi e versioni, ma non l'accesso a nessun codice sorgente o binario. Per es.
- ComponenteA 2.6.6
- ComponenteB 1.1
- ComponentC 0.12
L'elenco contiene più di 300 componenti, quindi è preferibile un processo automatico: -)
Ci sono diverse soluzioni qui, a seconda dei tipi di componenti coinvolti. Sono queste dipendenze del codice? Sono open source? In caso contrario, quanto sono ben utilizzati? Se non sono delle dipendenze di codice, che tipo di software sono?
Tutte queste domande indicano aree diverse da guardare. Per cominciare, ti consiglio di familiarizzare con NIST e Database di CVE di MITER. Sono entrambi fantastici. Per gli strumenti di scansione, consulta l'elenco di Vuln scanner di OWASP , che potrebbe indicarti la giusta direzione.
Per una guida più dettagliata, facci sapere di più sui tipi di componenti coinvolti in modo che possiamo dare più indicazioni. Questa particolare domanda definisce un'intera industria del software e sottocampo della cybersecurity, quindi senza ulteriori dettagli la risposta sarà piuttosto ampia.
Leggi altre domande sui tag vulnerability cve scan