去哪里获取安全警报通知？答案

【问题标题】：Where does one go to get security alert notifications?去哪里获取安全警报通知？
【发布时间】：2011-11-21 05:50:56
【问题描述】：

在我的公司，我们正努力以更一致的方式及时了解安全警报和通知。我们正在为我们的项目使用大量 Java 库，如果这些库有安全更新，我们希望得到通知。我花了一些时间试图找到安全列表，但无济于事。这可能是因为我不知道正确的搜索词（可能），或者因为我不知道在哪里看（也可能）。也可能是因为它们不存在。

库的类型有 Jetty、Hibernate、一些 Apache 组等。有谁知道这些警报是否有一个集中的地方来收集？是否有专门专注于发送在不同产品中引起注意的安全警报的小组？我在寻找这些东西方面还很陌生，目前还不确定该去哪里。

【问题讨论】：

【解决方案1】：

大多数漏洞往往会在邮件列表中公布，例如由 SecurityFocus 托管的 Bugtraq。您将找到一个单独的 Open Source projects 邮件列表，尽管此处没有讨论大多数漏洞，也没有大量披露。

您还会发现MITRE-CVE 和OSVDB 作为有用的来源。您所在国家/地区的 CERT 也是如此，尽管在大多数情况下您会发现US-CERT 发出的警报足以跟进。

【讨论】：

再次感谢您。你给了我开始寻找的地方，看起来（至少现在）这些就足够了，而不必订阅一堆不同的邮件列表。
@aperkins，好吧，如果它对你有帮助，这些在我以前的工作中就足够了，关于 JRE 和其他 FOSS 项目的警报很重要，尽管我没有寻找漏洞的负担在 Spring 和 Hibernate 等大型项目中。