Para un proyecto con muchas bibliotecas de código abierto como parte de él, comencé a buscar una fuente de información relacionada con todas las actualizaciones y problemas de seguridad. El tipo de fuentes que recopilé son la lista de anuncios o el problema / seguimiento de errores en forma de fuentes RSS o Lista de correo, ya que se pueden recuperar y analizar de una forma u otra, y luego se pueden reunir en un lugar.
El problema es que, para un tercio de esas bibliotecas, nada de esto está disponible. Así que me preguntaba, además de los feeds RSS / Atom o la lista de correo, ¿hay otras fuentes analizables que debería estar rastreando?
EDIT:
Recientemente hemos empezado a realizar una auditoría manualmente, intentando enumerar las vulnerabilidades conocidas de las bibliotecas de código abierto que utilizamos. Para ello, se decidió utilizar sitios de asesoramiento de seguridad como Secunia, Vupen, y NVD , ya que la información generalmente se formatea de manera relevante. Sin embargo queremos automatizar el proceso en el futuro.
¿El análisis de dichos sitios sería más fácil y / o aportaría información más relevante en comparación con otras fuentes? Sé que es un hecho que Secunia no se toma tan amablemente que un script rastrea en sus sitios, y me pregunté si sería el caso para otra seguridad. avisos, o si tal obstáculo podría encontrarse con otro tipo de fuentes.