it-swarm-korea.com

사용 된 오픈 소스 라이브러리의 업그레이드, 패치 및 보안 문제를 주시하는 방법은 무엇입니까?

많은 오픈 소스 라이브러리가 포함 된 프로젝트의 경우 모든 업그레이드 및 보안 문제와 관련된 정보 소스를 검색하기 시작했습니다. 내가 수집 한 소스의 종류는 RSS 피드 또는 메일 링 목록 형태의 공지 목록 또는 이슈/버그 추적기입니다. 둘 중 하나를 검색하고 분석 한 다음 한곳에 모을 수 있습니다.

문제는 이러한 라이브러리 중 1/3이 사용할 수 없다는 것입니다. 그래서 RSS/Atom 피드 나 메일 링리스트 외에 내가 추적해야 할 다른 파싱 가능한 소스가 있는지 궁금합니다.

편집하다 :

최근에 우리가 사용하는 오픈 소스 라이브러리의 알려진 취약점을 나열하기 위해 수동으로 감사를 시작했습니다. 이를 위해 정보가 일반적으로 적절한 형식으로 지정되므로 Secunia, Vupen 및 NVD 와 같은 보안 자문 사이트를 사용하기로 결정했습니다. 그러나 우리는 앞으로 프로세스를 자동화하고 싶습니다.

다른 소스와 비교할 때 그러한 사이트를 구문 분석하는 것이 더 쉬우거나 더 관련성 높은 정보를 가져올 수 있습니까? 나는 Secunia 스크립트가 사이트를 스니핑 할 정도로 친절하게 받아들이지 않는다는 사실을 알고 있으며, 다른 보안 권고의 경우가 될지, 아니면 다른 문제가 발생할 수 있는지 궁금합니다. 종류의 소스.

29
Eldros

오픈 소스 취약점 데이터베이스 ( http://osvdb.org/ )가 유용합니다. 이 질문 에 대한 답변도 참조하십시오.

라이브러리가 수만 개의 Ubuntu 패키지에 포함 된 경우 Ubuntu CVE 추적기가 좋은 정보를 제공합니다.

http://people.canonical.com/~ubuntu-security/cve/

Miter CVE 데이터베이스 및 NVD ( National Vulnerability Database )를 구문 분석하여 새로운 취약점을 분석하고 보안 문제를 추적하는 코드는 https://launchpad.net/ubuntu-cve-tracker

README를보고 코드와 구문 분석 된 CVE를

http://Bazaar.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master/files

오픈 소스 "bzr"분산 소스 제어 시스템으로 쉽게 따라갈 수 있습니다.

보안 및 패키징 문제는 http://fnords.wordpress.com/2010/09/24/the-real-에서 논의 된대로 Java에 대해 비정상적으로 복잡합니다. Java-in-linux-distros/ 문제

7
nealmcb

누락 된 세 번째 항목 중 일부의 경우 Freecode (이전에는 "Freshmeat"라고 함)에서 프로젝트를 구독 할 수 있습니다.

보안 페이지취약성 데이터베이스Linux Weekly News 에서 유용 할 수도 있습니다. (그렇다면 Linux 및 일반적으로 오픈 소스에 대한 매우 귀중한 정보 소스이며 대기업의 지원을받지 않는 LWN에 가입하는 것이 좋습니다.)

3
mattdm

이를 처리하는 또 다른 방법은 공식 소스 코드 저장소에서 직접 라이브러리를 체크 아웃하고 가끔씩 업데이트하는 것입니다. 항상 다운로드하는 것보다 쉽고 되돌릴 수 있습니다.

2
Olivier Lalonde

OWASP 종속성 검사 라이브러리를 확인하고 알려진 취약점 목록과 비교합니다. "명령 줄 인터페이스, Maven 플러그인, Ant 작업 및 Jenkins 플러그인이 있습니다." 또는 그들이 설명하는대로 :

Dependency-Check는 프로젝트 종속성을 식별하고 알려진 공개 된 취약점이 있는지 확인하는 유틸리티입니다. 현재 Java, .NET 및 Python 종속성이 지원됩니다.

1
David Balažic

평가는 타원형 도구로 표현할 수 있습니다.

1
user185

개발자 인 경우 NuGet (이전의 NuPack)은 애플리케이션의 타사 라이브러리 관리를 자동화하는 codeplex의 소프트웨어입니다.

http://nuget.codeplex.com/

모든 패키지는 여기에서 유지됩니다.

http://nupackpackages.codeplex.com/

IT가 FOSS 소프트웨어에 대한 패치 목록을 모니터링하고 관리 할 수 ​​있도록하는 "Windows 업데이트"종류에 통합 할 수있는 소프트웨어 프로젝트를 알고 있거나 직접 작성하는 경우이 질문을 찾은 내용으로 업데이트하십시오!

1
goodguys_activate

Maven 을 사용하여 프로젝트를 설정 한 경우 인덱싱하려는 코드 저장소 및 미러를 추가 할 수 있습니다.

여기까지 왔으면 예를 들어 pom.xml 주어진 라이브러리의 최신 릴리스를 사용하려는 경우. 해당 라이브러리의 새 릴리스가 있으면 자체 로컬 저장소에 라이브러리를 다운로드 할 때까지 프로젝트가 빌드되지 않습니다.

예를 들어 Sonatype Nexus Maven Repository 를 사용하여 모든 저장소를 관리 할 수 ​​있습니다. 그런 다음 Nexus의 저장소 뷰어를 쉽게 구문 분석하여 업데이트가 있는지 확인할 수 있습니다. Nexus에 RSS가 내장되어 있는지 잘 모르겠습니다.

0
Chris Dale