5

在我的公司,我们正努力以更一致的方式与安全警报和通知保持同步。我们正在为我们的项目使用大量 Java 库,如果这些库有安全更新,我们希望得到通知。我花了一些时间试图找到安全列表,但无济于事。这可能是因为我不知道正确的搜索词(可能),或者因为我不知道在哪里看(也可能)。也可能是因为它们不存在。

库的类型有 Jetty、Hibernate、一些 Apache 组等。有谁知道这些警报是否有一个集中的地方来收集?是否有专门专注于发送在不同产品中引起注意的安全警报的小组?我在寻找这些东西方面还很陌生,目前还不确定该去哪里。

4

1 回答 1

8

大多数漏洞往往会在邮件列表上公布,例如SecurityFocus 托管的Bugtraq 。您会找到一个单独的开源项目邮件列表,尽管这里没有讨论大多数漏洞,也没有大量披露。

您还会发现MITRE-CVEOSVDB作为有用的资源。您所在国家/地区的 CERT 也是如此,尽管在大多数情况下,您会发现US-CERT发出的警报足以跟踪。

于 2011-09-20T17:37:16.383 回答