もはや恒例になっているような気もしますが、BIND9の脆弱性情報が出ましたね。各ディストリビューションではすでに修正済みパッケージが提供されていると思いますが、どうやって知るの?って聞かれたので、購読しているメーリングリストをまとめておくことにしました。RSSフィードでも良いんだけど、RSSフィード読み飛ばしがちなのでメーリングリストの方がおすすめです。
JPCERT/CCメーリングリスト
https://www.jpcert.or.jp/announce.html (RSSフィードも提供)
- 毎週1回セキュリティ関連のトピックをまとめておくってくれる。
- 緊急性が高い場合は都度注意喚起が行われる。
- 貴重な日本語情報でしかも読みやすくまとまってて便利。
Ruby on Rails: Security
- Ruby on Railsのセキュリティ情報が流れてくる。
- Railsを使っているなら入っておくと良い。
- 更新頻度はそんなに高くなく、サードパーティライブラリの情報は少ない。
ruby-security-ann
- Ruby自身とgemのセキュリティ関連の情報配信。
Node Security (RSSのみ)
- Node.js 用 ライブラリー のセキュリティアップデート情報のまとめ (Node.js 本体は含まれない)
- 必ずしも全てのライブラリーを網羅しているわけではない
-
nspというモジュールを使って、CI 段階で脆弱性のあるモジュールを発見することも可能
debian-security-announce
- Debianのセキュリティアップデートのアナウンス用メーリングリスト。
- DSA (Debian Security Advisory)に情報が掲載されると流れてくる。
- CVEとDSAの番号の関連づけと修正済みバージョンがわかって便利。
- Debianを使ってるなら読んでおいた方が良い。
ubuntu-security-announce
- Ubuntuのセキュリティアップデートのアナウンス用メーリングリスト
centos-announce
- CentOSのアップデート情報アナウンス用メーリングリスト
- あんまり読みやすくないので代わりを知ってたら教えて欲しい。
- いまはCentOS運用してないから購読してない。
情報まとまってるとうれしいので、購読しているメーリングリストがあったら編集リクエストください。