¿Cómo vigilar las actualizaciones, los parches y los problemas de seguridad de las bibliotecas de código abierto usadas?

Navega tus respuestas
29

Para un proyecto con muchas bibliotecas de código abierto como parte de él, comencé a buscar una fuente de información relacionada con todas las actualizaciones y problemas de seguridad. El tipo de fuentes que recopilé son la lista de anuncios o el problema / seguimiento de errores en forma de fuentes RSS o Lista de correo, ya que se pueden recuperar y analizar de una forma u otra, y luego se pueden reunir en un lugar.

El problema es que, para un tercio de esas bibliotecas, nada de esto está disponible. Así que me preguntaba, además de los feeds RSS / Atom o la lista de correo, ¿hay otras fuentes analizables que debería estar rastreando?

EDIT:

Recientemente hemos empezado a realizar una auditoría manualmente, intentando enumerar las vulnerabilidades conocidas de las bibliotecas de código abierto que utilizamos. Para ello, se decidió utilizar sitios de asesoramiento de seguridad como Secunia, Vupen, y NVD , ya que la información generalmente se formatea de manera relevante. Sin embargo queremos automatizar el proceso en el futuro.

¿El análisis de dichos sitios sería más fácil y / o aportaría información más relevante en comparación con otras fuentes? Sé que es un hecho que Secunia no se toma tan amablemente que un script rastrea en sus sitios, y me pregunté si sería el caso para otra seguridad. avisos, o si tal obstáculo podría encontrarse con otro tipo de fuentes.

    
pregunta Eldros 26.11.2010 - 11:32
fuente

7 respuestas

7

La base de datos de vulnerabilidad de código abierto ( enlace ) es útil. Consulte también las respuestas a esta pregunta

Si las bibliotecas se encuentran entre las decenas de miles de paquetes de Ubuntu, el rastreador CVE de Ubuntu proporciona buena información:

enlace

El código para analizar la base de datos de Mitre CVE y NVD ( Base de Datos de Vulnerabilidad Nacional ) para detectar nuevas vulnerabilidades y hacer un seguimiento de los problemas de seguridad se encuentra en < a href="https://launchpad.net/ubuntu-cve-tracker"> enlace

Puede ver el archivo README y examinar el código y los CVE analizados en

enlace

y puede seguirlo fácilmente con el sistema de control de fuente distribuida "bzr" de código abierto.

Los problemas de seguridad y empaquetado son inusualmente complicados para Java como se explica en enlace

    
respondido por el nealmcb 27.11.2010 - 05:26
fuente
3

Para un subconjunto del tercero faltante, puede suscribirse al proyecto en Freecode (anteriormente conocido como "Freshmeat").

También puede encontrar la página de seguridad y la vulnerabilidad base de datos en Linux Weekly News útil. (Y si lo hace, le recomiendo que se suscriba a LWN, que es una fuente de información muy valiosa para Linux y el código abierto en general, y no está respaldado por ninguna compañía grande y rica).

    
respondido por el mattdm 26.11.2010 - 16:02
fuente
2

Otra forma de lidiar con esto es registrar bibliotecas directamente desde su repositorio oficial de código fuente y hacer actualizaciones de vez en cuando. Más fácil de descargar y fácil de revertir.

    
respondido por el Olivier Lalonde 26.11.2010 - 17:32
fuente
1

Su evaluación puede expresarse en una herramienta OVAL .

    
respondido por el user185 26.11.2010 - 12:31
fuente
1

Si eres un desarrollador, NuGet (anteriormente NuPack) es un software en Codeplex que automatiza la administración de bibliotecas de terceros en tu aplicación.

enlace

Todos los paquetes se mantienen aquí:

enlace

Si conoce algún proyecto de software (o lo escribe usted mismo) que pueda incorporarse en una "actualización de Windows" que le permita a TI monitorear y administrar la lista de parches para el software de FOSS, actualice esta pregunta con lo que ¡encontrar!

    
respondido por el random65537 26.11.2010 - 19:46
fuente
1

Comprobación de dependencia de OWASP comprueba sus bibliotecas y se compara con una lista de vulnerabilidades conocidas. Tiene "una interfaz de línea de comandos, un complemento de Maven, una tarea de Ant y un complemento de Jenkins". O como lo describen:

  

Dependency-Check es una utilidad que identifica las dependencias del proyecto y verifica si existen vulnerabilidades conocidas y divulgadas públicamente. Actualmente se admiten las dependencias de Java, .NET y Python.

    
respondido por el David Balažic 05.09.2015 - 19:41
fuente
0

Si su proyecto se configura utilizando Maven , puede agregar repositorios de código y duplicados que desee indexar.

Habiendo llegado hasta aquí, puede, por ejemplo, especificar en su pom.xml que desea usar la última versión de una biblioteca determinada. Una vez que haya una nueva versión de esa biblioteca, su proyecto no se construirá hasta que haya descargado la biblioteca en su propio repositorio local.

Por ejemplo, puede usar Repositorio de Sonatype Nexus Maven para administrar todos sus repositorios. Luego, podría analizar fácilmente el visor del repositorio de Nexus para averiguar si ha habido alguna actualización. No estoy seguro de si Nexus tiene RSS incorporado.

    
respondido por el Chris Dale 30.11.2010 - 07:57
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los posibles problemas de seguridad al habilitar HTTP2? ¿Cómo prevenir los "ataques de costos" en AWS?