He sido desarrollador durante bastante tiempo y, como parte de mi proceso de aprendizaje continuo, he aprendido cómo detectar y remediar el código roto (e inseguro) escrito por otros. Recientemente, me encontré explorando proyectos al azar y anotando los problemas de seguridad que he detectado, que van desde XSS a SQLI, cargadores inseguros hasta problemas de ejecución de comandos arbitrarios en toda regla, y tengo ganas de ser un poco más organizado.
En mi ocupación, hacemos un uso intensivo de Jira y de otras herramientas organizativas similares, pero no puedo evitar pensar que Jira no es solo un poco TOO funcional para lo que quiero hacer un seguimiento. La información que me gustaría rastrear estaría en la línea de 'Identificación de objetivos - > Definición de vulnerabilidad- > Asignación de CVE- > Resolución / Seguimiento de divulgación'.
¿Hay proyectos de código abierto por ahí que usted, como investigadores de seguridad, utilice para realizar un seguimiento de las vulnerabilidades descubiertas y su progreso a lo largo de su vida útil de descubrimiento / divulgación? ¿Existe una brecha en el 'mercado' aquí? ¿Podría el sector beneficiarse con una herramienta diseñada para facilitar la vida del investigador de seguridad?
Esperamos con interés las opiniones que todos deseen expresar sobre ...