【发布时间】:2019-04-08 06:53:59
【问题描述】:
我有一个使用大约 50 多个开源软件的工具,如果这些开源软件中的任何一个被利用并且出现新的漏洞,我需要立即得到通知,我应该修补相应的软件。
那么,有没有办法做到这一点?
我搜索了一些东西,例如 CVE 报告、开源威胁情报平台,但我没能找到它。
【问题讨论】:
标签: python security open-source auto-update rss-reader
我有一个使用大约 50 多个开源软件的工具,如果这些开源软件中的任何一个被利用并且出现新的漏洞,我需要立即得到通知,我应该修补相应的软件。
那么,有没有办法做到这一点?
我搜索了一些东西,例如 CVE 报告、开源威胁情报平台,但我没能找到它。
【问题讨论】:
标签: python security open-source auto-update rss-reader
很好,很好的问题!许多人没有意识到这个问题,当您考虑其影响时,它是巨大的,就像您一样。
事实上,这样做非常困难。在某些工具中,例如节点包管理器 (NPM),您可以使用 npm audit 来检查安全数据库。然后,这将生成存储库列表中的漏洞报告(其中大多数通常是开源的)并解释它们的漏洞状态。
但是,解决这个问题的一个很好的工具叫做Synk。看看这个。它本质上是对类固醇的 npm 审计,有很好的客户支持(我不为他们工作,所以不试图在这里销售)。
做什么
您可以将 npm audit 或 Snyk 集成到您的管道中(如果您有此设置,最好在 CI 中使用)。然后在每次部署时,您可以确保至少已检查存储库是否存在漏洞。
【讨论】: