Gestisco alcuni server Web che eseguono ubuntu, apache, mysql e python / django. Aggiorno tutte le librerie trimestralmente, ma mi piacerebbe aggiornare più spesso quando viene rilasciata una patch per una vulnerabilità maggiore?
C'è un buon servizio per iscriversi agli avvisi via email?
Potresti provare ad iscriverti al riepilogo della vulnerabilità settimanale US-CERT .
The US-CERT Cyber Security Bulletin provides a summary of new vulnerabilities that have been recorded by the National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) in the past week.
US-CERT ha anche altri avvisi e opzioni, inclusi i feed di ATOM. Dai un'occhiata al link .
Lo strumento CASSANDRA della Purdue University "semplifica il mantenimento delle vulnerabilità nei database di National Vulnerability Database (NVD, ex ICAT) o Secunia: invece di andare su questi siti ogni giorno e ripetere le ricerche, Cassandra fa il lavoro per tu (anche due volte al giorno per Secunia). Funziona salvando gli elenchi di prodotti, fornitori e parole chiave in "profili" .Tutte le nuove informazioni sono disponibili, Cassandra può avvisarti via email. Puoi creare tutti i profili che vuoi, per reti, installazioni tipiche, host importanti o semplicemente aree di interesse per te. L'importante è che tu debba ricevere e-mail solo per cose che sono rilevanti per te, così non devi scannerizzare ogni messaggio su varie mailing list. "
L'interfaccia di configurazione è ingombrante, ma è gratuita e funziona.
Secunia crea anche un glorioso pacchetto chiamato Secunia PSI che ti avvisa quando ci sono patch disponibili per il software installato sul tuo computer. PSI è per uso personale ed è gratuito. Per i dispositivi non Windows, ovviamente iscriversi alla lista CERT pertinente è una buona idea. Il problema che ho con le liste CERT è che non riportano i bug che hanno un impatto minore che possono ancora essere veramente problematici per gli utenti finali. per esempio. segnaleranno un bug in IE o in flash, ma non uno su Filezilla o su uTorrent ... alla fine della giornata, quelle applicazioni per l'utente finale sono ancora importanti per garantire che i sistemi siano sicuri.
La maggior parte dei paesi dispone di un "CERT" (Computer Readiness Team) che fornisce servizi sia a pagamento che gratuiti per avvisare gli abbonati degli annunci di vulnerabilità. La differenza generale tra il servizio a pagamento e quello gratuito è che gli abbonati a pagamento possono ricevere notifiche anticipate o notifiche aggiuntive via SMS ecc. Per vulnerabilità particolarmente gravi. Questi organismi forniscono spesso anche altri servizi a valore aggiunto, come sommari di malware significativo, attività di bonnet, ecc.
Oltre ai corpi CERT, ci sono anche vari siti di database di vulnerabilità, come il National Vulnerability Database dal NIST link . Alcuni fornitori forniscono anche database simili come il database di Rapid7 all'indirizzo link . Potresti anche trovare utile il database di vulnerabilità open source dati i sistemi che hai citato link
Naturalmente, se utilizzi una singola distribuzione, come Debian, Red Hat ecc., troverai i dettagli degli aggiornamenti di sicurezza, ecc. sui loro siti web e dovresti essere iscritto ai loro repository degli aggiornamenti per la sicurezza, ecc.
Leggi altre domande sui tag patching known-vulnerabilities