2023-02-06T09:09:59 GwenDragon

nur für das Produkt Perl

Das ist schon mal die erste Herausforderung: das "Produkt" Perl überhaupt zu definieren. Ist das der Interpreter? Oder die Module, die als "Core"-Module mit dabei sind? Dazu gibt's den unkontrollierbaren CPAN-Zoo sowie jede Menge in Perl geschriebene Software, die nicht auf CPAN zu finden ist, sondern via GitHub oder anderen Repositories verteilt wird, ganz zu schweigen von den 42 (!) externen Tools, die mit Strawberry Perl verteilt werden, darunter eins mit hoher Häufigkeit an Security-Patches (OpenSSL)...

Ich kann mir nicht vorstellen, dass sich jemand der Mühe unterziehen wird, so eine Security-Liste zu betreuen.

Andererseits: Es gibt schon ganz praktikable Annäherungen.

• Auf der oss-security-Liste erscheinen mindestens die behobenen Sicherheitsprobleme im Interpreter und in den Core-Modulen.
• Von den plattform-spezifischen Listen sollte eine gut gepflegte ausreichen. Debian und Ubuntu bieten beispielsweise eine sehr reiche Auswahl von CPAN-Modulen als Pakete an und für diese dann auch die Sicherheits-Informationen (in den Ubuntu Security Notices bzw. Debian Advisories. Die Security-Teams reden auch miteinander

CPAN-Module, die nicht von den Linux-Distributionen bereitgestellt werden, sind ... reine Vertrauenssache. Auf CPAN gibt es Module, die ich als Malware einstufe.