
<div dir="ltr"><div>Hello,</div><div><br></div><div>I think I have to add my 5 cents. There are commercial (ironically proprietary) products on the market which analyze the software and build a list of open source dependencies. </div><div><br></div><div>Then, based on this list of open source dependencies, they build a list of vulnerabilities which might be presented in the analyzed software.</div><div><br></div><div>Example of such tool: <a href="https://www.blackducksoftware.com/solutions/application-security">https://www.blackducksoftware.com/solutions/application-security</a>  (Check "Manage Open Source vulnerabilities")<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">2017-07-26 23:51 GMT+03:00 Hugo Roy <span dir="ltr"><<a href="mailto:hugo@fsfe.org" target="_blank">hugo@fsfe.org</a>></span>:<br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">Thank you Bastien, this is interesting and helpful.<br>

<br>

Does anyone has interesting articles about recent vulnerabilities<br>

discovered in free software?<br>

<br>

Best,<br>

Hugo<br>

<br>

↪ Bastien Guerry / juillet 26, 2017 15:50:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">

Hi Hugo,<br>

<br>

Hugo Roy <<a href="mailto:hugo@fsfe.org" target="_blank">hugo@fsfe.org</a>> writes:<br>

<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">

Any case studies on how the world dealt to react quickly and update<br>

systems in reponse to Heartbleed for instance?<br>

</blockquote>

<br>

I remember blackduck had some reports comparing FLOSS/non-FLOSS with<br>

respect to their security, I found this, but I’m sure there are more<br>

detailed documents:<br>

<br>

<a href="https://info.blackducksoftware.com/rs/872-OLS-526/images/OSSAReportFINAL.pdf" target="_blank" rel="noreferrer">https://info.blackducksoftware<wbr>.com/rs/872-OLS-526/images/OSS<wbr>AReportFINAL.pdf</a><br>

<br>

Also, a bit older, but with more data:<br>

<a href="http://go.coverity.com/rs/157-LQW-289/images/2014-Coverity-Scan-Report.pdf" target="_blank" rel="noreferrer">http://go.coverity.com/rs/157-<wbr>LQW-289/images/2014-Coverity-S<wbr>can-Report.pdf</a><br>

<br>

I’m not a specialist at all, and all these sources must be read with<br>

a grain of salt, because authors are often not neutral.<br>

<br>

HTH,<span class="gmail-HOEnZb"><font color="#888888"><br>

<br>

-- <br>

 Bastien<br>

<br>

</font></span></blockquote>

<br>______________________________<wbr>_________________<br>

Discussion mailing list<br>

<a href="mailto:Discussion@lists.fsfe.org">Discussion@lists.fsfe.org</a><br>

<a href="https://lists.fsfe.org/mailman/listinfo/discussion" target="_blank" rel="noreferrer">https://lists.fsfe.org/<wbr>mailman/listinfo/discussion</a><br>

<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr">WBR & WBW, Vitaly</div></div>

</div></div>