No tengo conocimiento de que exista un servicio de este tipo que pueda adaptarse a las necesidades comunicadas, aunque no estoy seguro de que exista la inteligencia para crear uno que brinde valor sin una atención significativa y permanente por parte del consumidor.
Puedo pensar en 4 conjuntos de fuentes de información a las que prestar atención, que se enumeran a continuación. A menos que las circunstancias específicas de su negocio requieran atención con nosotros, cert, bugtraq o cvedetails, no los incluiría en una lista de fuentes útiles.
Los 4 conjuntos son:
- sistema operativo
- proveedor de infraestructura
- proveedores de software individuales
- plataforma de desarrollo / bibliotecas
La regla general es que, en ausencia de una fuente configurable agregada, las fuentes individuales más importantes a las que se debe prestar atención son los proveedores del software y la infraestructura que se utilizan, tanto en un contexto operacional como en un contexto de desarrollo. Para aquellos, siga cualquier lista específica de anuncios de seguridad y lanzamientos, así como su blog técnico general. El blog de Ubuntu es donde se distribuyeron noticias sobre su respuesta a POODLE (por ejemplo, enlace ).
El sistema operativo es una capa en este sándwich. Debajo del sistema operativo, si los servidores están virtualizados en un entorno de nube, esta regla comprende el proveedor de la nube: AWS, Google, Digital Ocean, etc. En términos generales, AWS tiene blogs para cada servicio principal: estos comunicarán información relevante desde un contexto de seguridad. .
Si la virtualización o la plataforma en la nube también incluye contenedores, entonces vale la pena seguir el blog, la seguridad y los anuncios de publicación del proveedor de contenedores ascendente (Docker, linuxcontainers, etc.).
Sobre el sistema operativo hay aplicaciones individuales. Estos pueden ser entregados por el proveedor del sistema operativo pero, sin embargo, son fuentes independientes de noticias e información, porque el filtro de curación del proveedor del sistema operativo va a excluir el contexto importante relacionado con las características y la configuración de estas aplicaciones.
La importancia de atenderlos depende de su función en su infraestructura, y su función puede clasificarse en dos dimensiones:
- qué tan visibles son para las fuentes de tráfico potencialmente maliciosas
- qué tan importantes son para asegurar su subsistencia
Es posible que tenga una base de datos importante que no esté expuesta públicamente a tráfico potencialmente malicioso, pero es conveniente consultar sus publicaciones, lista de seguridad y blog técnico, ya que la información de configuración defensiva y arquitectónica importante se comunicará allí y no se comunicará. Ven a través de otras fuentes.
De forma similar, probablemente ejecute servidores web nginx o apache y algún tipo de servidor de aplicaciones. Ubuntu, por supuesto, recopila y procesa información de los lanzamientos, anuncios de seguridad y blogs técnicos de estos proyectos, pero nuevamente su filtro de curación excluirá los problemas específicos de configuración e implementación que estos proyectos informarán a sus usuarios directamente.
Como una tienda de desarrollo web, presumiblemente su equipo trabaja en una o más plataformas (Node, Rails, Spring, React, lo que sea), que consumen los lanzamientos de la plataforma de los principales proveedores y también de los desarrolladores de bibliotecas que operan en ese ecosistema y luego Produciendo software para sus clientes. Es importante seguir los anuncios y el blog de la plataforma y los proveedores de la biblioteca cuyo trabajo consume y mantenerse al día sobre las dependencias. Aquí hay algunos servicios nuevos que se centran en encontrar y curar las vulnerabilidades encontradas mediante el análisis estático de las plataformas de desarrollo y las bibliotecas, y luego integrar esa información en flujos de trabajo de integración / entrega continuos, estos servicios son dignos de consideración para su equipo.
Nuevamente, la regla general es: si consume un servicio o una aplicación como una dependencia en su infraestructura operativa, o si consume una aplicación o biblioteca en su infraestructura de desarrollo, entonces siga los anuncios de esos proveedores de servicios específicos. Estado actual de madurez de la industria importante para la seguridad.
Los proveedores intermedios que empaquetan y distribuyen software desde el origen no suelen resolver los casos de uso de configuración e implementación que son sensibles a la seguridad y en los que los proveedores de software ascendente pasan mucho tiempo pensando.
Finalmente, hay mucho material potencial a seguir, que en sí mismo es un punto importante sobre la superficie de ataque. Debido a que todo el software contiene vulnerabilidades, cuanto más se consume y utiliza, más amplia se vuelve la superficie de ataque. Consumir algún software para su funcionalidad y no atender su flujo ascendente es una forma de deuda técnica fuera de balance.
Espero que sea útil.