Куда можно обратиться за оповещениями о безопасности?

Question

В моей компании мы стараемся не отставать от предупреждений и уведомлений о безопасности более согласованным образом.Мы используем большое количество библиотек Java для наших проектов и хотели бы получать уведомления о наличии обновлений безопасности для этих библиотек.Я потратил некоторое время, пытаясь найти списки безопасности, но безрезультатно.Это может быть потому, что я не знаю правильные условия поиска (возможно), или потому что я не знаю, где искать (также возможно).Это также может быть связано с тем, что они не существуют.

Типами библиотек являются такие, как Jetty, Hibernate, некоторые из группы Apache и тому подобное.Кто-нибудь знает, есть ли централизованное место для сбора этих оповещений?Существуют ли группы, которые специально занимаются рассылкой предупреждений безопасности, которые замечены в разных продуктах?Я довольно новичок в поиске этого материала и не совсем уверен, куда идти в этот момент.

Answer 1

Большинство уязвимостей, как правило, объявляются в списках рассылки, таких как Bugtraq , который размещается в SecurityFocus.Вы найдете отдельный список рассылки для проектов с открытым исходным кодом , хотя большинство уязвимостей здесь не обсуждаются, и не так много раскрытий.

Вы также найдете MITER-CVE и OSVDB в качестве полезных источников.То же самое относится и к CERT вашей страны, хотя в большинстве случаев вы обнаружите, что предупреждений, выданных US-CERT , достаточно, чтобы следовать им.