En este caso, tengo una lista de nombres y versiones, pero no tengo acceso a ningún código fuente o binarios. Por ejemplo,
La lista tiene más de 300 componentes, por lo que se preferiría un proceso automatizado :-)
Hay varias soluciones aquí, dependiendo de los tipos de componentes involucrados. ¿Son estas dependencias de código? ¿Son de código abierto? Si no, ¿qué tan bien utilizados están? Si no son dependencias de código, ¿qué tipo de software son?
Todas estas preguntas apuntan a diferentes áreas para mirar. Para comenzar, recomiendo que se familiarice con NIST's y Las bases de datos CVE de MITRE . Ambos son geniales. Para obtener información sobre las herramientas de escaneo, consulte la lista de escáneres de vulnerabilidades de OWASP , que podría apuntarle en la dirección correcta.
Para obtener una ayuda más detallada, háganos saber más sobre los tipos de componentes involucrados para que podamos brindar más orientación. Esta pregunta en particular define toda una industria de software y subcampo de ciberseguridad, por lo que, sin más detalles, la respuesta será bastante amplia.
Lea otras preguntas en las etiquetas vulnerability cve scan