reklama

Sledování CVE

Sledování CVE
« kdy: 21. 04. 2020, 22:39:07 »
Ahoj, používáte nějakou službu pro sledování zranitelností CVE? Něco jako: zaregistruji se, vyberu si produkty co používám a nechávám se informovat o CVE týkajících se pouze těch mých systémů.

Případně jak obecně sledujete zranitelnosti?

Díky

reklama


Re:Sledování CVE
« Odpověď #1 kdy: 22. 04. 2020, 01:35:04 »
Chcete se přihlašovat ke každému produktu ručně? Pokud ne, tak se bude hodit nějaký scanner, který identifikuje komponenty a pokusí se k nim dohledat známé zranitelnosti.

A konkrétní nástroj? Záleží na platformě. A situace se může lišit u zranitelností aplikací nainstalovaných v OS a u zranitelností 3rd party knihoven ve Vámi vyvíjené aplikaci.

Ale celkem univerzální je OWASP Dependency Check, případně asi i OWASP Dependency Track. (Navzdory podobnému názvu spolu až tolik společného uvnitř zřejmě nemají.) A teď je otázka i nasazení. Domácí použití? Správa tisíců počítačů? CI server?
GraalVM Developer v Oracle Labs. Názory jsou moje vlastní, nemusejí se shodovat se stanoviskem mého zaměstnavatele.

Re:Sledování CVE
« Odpověď #2 kdy: 22. 04. 2020, 14:22:49 »

Re:Sledování CVE
« Odpověď #3 kdy: 23. 04. 2020, 15:07:07 »
Já nehledám systém, který bude provádět detekci zranitelností. Hledám systém, kde si zaškrtám jaké systémy používám a na e-mail mi budou chodit nějaké reporty o CVE mých systémů.

Re:Sledování CVE
« Odpověď #4 kdy: 23. 04. 2020, 16:03:00 »
Já nehledám systém, který bude provádět detekci zranitelností. Hledám systém, kde si zaškrtám jaké systémy používám a na e-mail mi budou chodit nějaké reporty o CVE mých systémů.

Přidávám se k tazateli, něco takového bych taky uvítal.

reklama


Re:Sledování CVE
« Odpověď #5 kdy: 26. 04. 2020, 16:28:29 »
Gentoo Linux Security Advisories (GLSA)

https://wiki.gentoo.org/wiki/GLSA
https://security.gentoo.org/glsa/

glsa-check -t all

 

reklama