Herramientas para facilitar la vida de los investigadores de seguridad: seguimiento de la investigación de vulnerabilidad [cerrado]

2

He sido desarrollador durante bastante tiempo y, como parte de mi proceso de aprendizaje continuo, he aprendido cómo detectar y remediar el código roto (e inseguro) escrito por otros. Recientemente, me encontré explorando proyectos al azar y anotando los problemas de seguridad que he detectado, que van desde XSS a SQLI, cargadores inseguros hasta problemas de ejecución de comandos arbitrarios en toda regla, y tengo ganas de ser un poco más organizado.

En mi ocupación, hacemos un uso intensivo de Jira y de otras herramientas organizativas similares, pero no puedo evitar pensar que Jira no es solo un poco TOO funcional para lo que quiero hacer un seguimiento. La información que me gustaría rastrear estaría en la línea de 'Identificación de objetivos - > Definición de vulnerabilidad- > Asignación de CVE- > Resolución / Seguimiento de divulgación'.

¿Hay proyectos de código abierto por ahí que usted, como investigadores de seguridad, utilice para realizar un seguimiento de las vulnerabilidades descubiertas y su progreso a lo largo de su vida útil de descubrimiento / divulgación? ¿Existe una brecha en el 'mercado' aquí? ¿Podría el sector beneficiarse con una herramienta diseñada para facilitar la vida del investigador de seguridad?

Esperamos con interés las opiniones que todos deseen expresar sobre ...

    
pregunta Seidr 21.07.2014 - 15:58
fuente

1 respuesta

3

Cualquier software de seguimiento de errores es el estándar para esta herramienta. Las vulnerabilidades que encuentras son simplemente "errores". Asigne la gravedad, realice un seguimiento de la respuesta y el seguimiento del proveedor y detalle los problemas, todo dentro de la herramienta.

Github, bugzilla, Jira, etc. Elija la herramienta que coincida con sus necesidades y flujo de trabajo.

    
respondido por el schroeder 21.07.2014 - 16:52
fuente

Lea otras preguntas en las etiquetas