it-swarm-es.com

¿Cómo vigilar las actualizaciones, los parches y los problemas de seguridad de las bibliotecas de código abierto usadas?

Para un proyecto con muchas bibliotecas de código abierto como parte de él, comencé a buscar fuentes de información sobre todas las actualizaciones y problemas de seguridad. El tipo de fuentes que recopilé son listas de anuncios o rastreadores de problemas/errores en forma de fuentes RSS o listas de correo, ya que pueden recuperarse y analizarse de una manera u otra, y luego reunirse en un lugar.

El problema es que, para un tercio de esas bibliotecas, nada de esto está disponible. Así que me preguntaba, además de los feeds RSS/Atom o la lista de correo, ¿hay otras fuentes analizables que debería rastrear?

EDITAR:

Recientemente comenzamos a realizar una auditoría manualmente, tratando de enumerar las vulnerabilidades conocidas de las bibliotecas de código abierto que usamos. Para eso se decidió utilizar sitios de avisos de seguridad como Secunia, Vupen y NVD , ya que la información generalmente se formatea de manera relevante. Sin embargo, queremos automatizar el proceso en el futuro.

¿Sería más fácil analizar esos sitios y/o aportar información más relevante en comparación con otras fuentes? Sé con certeza que Secunia no se toma tan amablemente que un script husmee en sus sitios, y me preguntaba si sería el caso de otros avisos de seguridad, o si tal obstáculo podría encontrarse con otros tipo de fuentes.

29
Eldros

La base de datos de vulnerabilidades de código abierto ( http://osvdb.org/ ) es útil. Consulte también las respuestas a esta pregunta

Si las bibliotecas se encuentran entre las decenas de miles de paquetes de Ubuntu, el rastreador de Ubuntu CVE proporciona buena información:

http://people.canonical.com/~ubuntu-security/cve/

El código para analizar la base de datos Mitre CVE y el NVD ( Base de datos nacional de vulnerabilidades ) para detectar nuevas vulnerabilidades y rastrear problemas de seguridad está en https://launchpad.net/ubuntu-cve-tracker

Puede ver el README y examinar el código y los CVE analizados en

http://Bazaar.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master/files

y puede seguirlo fácilmente con el sistema de control de código fuente distribuido "bzr" de código abierto.

Los problemas de seguridad y empaquetado son inusualmente complicados para Java como se explica en http://fnords.wordpress.com/2010/09/24/the-real-problem-with-Java -in-linux-distros /

7
nealmcb

Para algún subconjunto del tercio faltante, puede suscribirse al proyecto en Freecode (anteriormente conocido como "Freshmeat").

También puede encontrar página de seguridad y base de datos de vulnerabilidades en noticias semanales de Linux útiles. (Y si lo hace, le recomiendo que se suscriba a LWN, que es una fuente de información muy valiosa para Linux y el código abierto en general, y no está respaldada por ninguna empresa grande y rica).

3
mattdm

Otra forma de lidiar con esto es verificar las bibliotecas directamente desde su repositorio oficial de código fuente y realizar actualizaciones de vez en cuando. Más fácil que siempre descargar y fácil de revertir.

2
Olivier Lalonde

OWASP Dependency Check comprueba sus bibliotecas y las compara con una lista de vulnerabilidades conocidas. Tiene "una interfaz de línea de comandos, un complemento de Maven, una tarea Ant y un complemento de Jenkins". O como lo describen:

Dependency-Check es una utilidad que identifica las dependencias del proyecto y comprueba si existen vulnerabilidades conocidas y divulgadas públicamente. Actualmente, Java, .NET y Python son compatibles.

1
David Balažic

Su evaluación puede expresarse en una herramienta OVALADA .

1
user185

Si es un desarrollador NuGet (anteriormente NuPack) es un software en codeplex que automatiza la administración de bibliotecas de terceros en su aplicación.

http://nuget.codeplex.com/

Todos los paquetes se mantienen aquí:

http://nupackpackages.codeplex.com/

Si conoce algún proyecto de software (o escribe uno usted mismo) que pueda incorporarse en una especie de "Actualización de Windows" que le permita a TI supervisar y administrar la lista de parches para el software FOSS, actualice esta pregunta con lo que encuentre.

1
goodguys_activate

Si su proyecto está configurado con Maven , puede agregar repositorios de código y espejos que desee indexar.

Ha llegado hasta aquí, entonces puede, por ejemplo, especificar en su pom.xml que desea utilizar la última versión de una biblioteca determinada. Una vez que haya una nueva versión de esa biblioteca, su proyecto no se compilará hasta que haya descargado la biblioteca en su propio repositorio local.

Por ejemplo, podría usar Sonatype Nexus Maven Repository para administrar todos sus repositorios. Luego, podría analizar fácilmente el visor del repositorio de Nexus para averiguar si ha habido actualizaciones. No estoy seguro de si Nexus tiene RSS incorporado.

0
Chris Dale