<div dir="ltr"><div>Hi Elena,<br><br></div>I like the idea, probably we can prepare some scripts which will allow to run this tool for any OpenStack components like it is done for Bandit tool [1].<br><br>[1] <a href="https://github.com/openstack/bandit">https://github.com/openstack/bandit</a><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 4, 2015 at 8:01 PM, Reshetova, Elena <span dir="ltr"><<a href="mailto:elena.reshetova@intel.com" target="_blank">elena.reshetova@intel.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="#0563C1" vlink="#954F72" lang="FI"><div><p class="MsoNormal"><span lang="EN-GB">Hi,<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-GB">Sorry for the double posting, I have got a recommendation to send this to the security mailing list also and not to the dev one.<u></u><u></u></span></p><span class=""><p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-GB">We would like to ask opinions if people find it valuable to include a cve-check-tool into the OpenStack continuous integration process? <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-GB">A tool can be run against the package and module dependencies of OpenStack components and detect any CVEs (in future there are also plans to integrate more functionality to the tool, such as scanning of other vulnerability databases and etc.). It would not only provide fast detection of new vulnerabilities that are being released for existing dependencies, but also control that people are not introducing new vulnerable dependencies. <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-GB">The tool is located here: <a href="https://github.com/ikeydoherty/cve-check-tool" target="_blank">https://github.com/ikeydoherty/cve-check-tool</a><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-GB">I am attaching an example of a very simple Python wrapper for the tool, which is able to process formats like: <a href="http://git.openstack.org/cgit/openstack/requirements/tree/upper-constraints.txt" target="_blank">http://git.openstack.org/cgit/openstack/requirements/tree/upper-constraints.txt</a><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-GB">and an example of html output if you would be running it for the python module requests 2.2.1 version (which is vulnerable to 3 CVEs). <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-GB">Best Regards,<br>Elena.<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-GB"><u></u> <u></u></span></p></span></div></div><br>_______________________________________________<br>
Openstack-security mailing list<br>
<a href="mailto:Openstack-security@lists.openstack.org">Openstack-security@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><font color="#888888"><font color="#888888"><br></font></font><div style="font-family:arial;font-size:small">Timur,</div><div style="font-family:arial;font-size:small">Senior QA Engineer</div><div style="font-family:arial;font-size:small">OpenStack Projects</div><div style="font-family:arial;font-size:small">Mirantis Inc</div></div></div></div></div></div></div>
</div>