<item>
<title>Støtte for forskjellige kamera-ikoner på overvåkningskamerakartet</title>
- <link>http://people.skolelinux.org/pere/blog/St__tte_for_forskjellige_kamera_ikoner_p___overv__kningskamerakartet.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/St__tte_for_forskjellige_kamera_ikoner_p___overv__kningskamerakartet.html</guid>
+ <link>http://people.skolelinux.org/pere/blog/St_tte_for_forskjellige_kamera_ikoner_p__overv_kningskamerakartet.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/St_tte_for_forskjellige_kamera_ikoner_p__overv_kningskamerakartet.html</guid>
<pubDate>Sun, 2 Jan 2011 11:05:00 +0100</pubDate>
- <description>
-<p>I dag har jeg justert litt på kartet over overvåkningskamera, og
+ <description><p>I dag har jeg justert litt på kartet over overvåkningskamera, og
laget støtte for å gi fotobokser (automatisk trafikk-kontroll) og
andre overvåkningskamera forskjellige symboler på kartet, slik at det
er enklere å se forskjell på kamera som vegvesenet kontrollerer og
<link>http://people.skolelinux.org/pere/blog/Inspirerende_fra_en_ukjent_Skolelinux_skole.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Inspirerende_fra_en_ukjent_Skolelinux_skole.html</guid>
<pubDate>Tue, 4 Jan 2011 07:50:00 +0100</pubDate>
- <description>
-<p>Følgende inspirerende historie fant jeg i
+ <description><p>Følgende inspirerende historie fant jeg i
<a href="http://www.digi.no/php/ny_debatt.php?id=858869#innlegg_770926">kommentarfeltet
hos digi.no</a> i forbindelse med en trist sak om hvordan
<a href="http://www.digi.no/858869/datakaos-etter-linux-satsing">skolen
<item>
<title>Hvordan kringkaster T-banen i Oslo sine overvåkningskamerasignaler?</title>
- <link>http://people.skolelinux.org/pere/blog/Hvordan_kringkaster_T_banen_i_Oslo_sine_overv__kningskamerasignaler_.html</link>
- <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Hvordan_kringkaster_T_banen_i_Oslo_sine_overv__kningskamerasignaler_.html</guid>
+ <link>http://people.skolelinux.org/pere/blog/Hvordan_kringkaster_T_banen_i_Oslo_sine_overv_kningskamerasignaler_.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Hvordan_kringkaster_T_banen_i_Oslo_sine_overv_kningskamerasignaler_.html</guid>
<pubDate>Wed, 5 Jan 2011 18:30:00 +0100</pubDate>
- <description>
-<p>Jeg er den fornøyde eier av en håndholdt trådløs kamerascanner,
+ <description><p>Jeg er den fornøyde eier av en håndholdt trådløs kamerascanner,
dvs. en radioscanner som automatisk scanner frekvensområdet 900 - 2500
MHz og snapper opp radiokilder med PAL eller NTCS TV-signal og viser
signalet frem på en liten skjerm. Veldig morsom å ha med seg for å se
<link>http://people.skolelinux.org/pere/blog/Noen_lenker_om_Datalagringsdirektivet.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Noen_lenker_om_Datalagringsdirektivet.html</guid>
<pubDate>Sun, 9 Jan 2011 01:10:00 +0100</pubDate>
- <description>
-<p>Arbeiderpartiet har tvunget igjennom et forslag i regjeringen om
+ <description><p>Arbeiderpartiet har tvunget igjennom et forslag i regjeringen om
at alle borgere i Norge skal overvåkes kontinuerlig i tilfelle vi gjør
noe galt, slik at politiet får det enklere under etterforskningen.
Sikkerhetstjenesten vil få tilgang uten at noen er mistenkt, mens
<link>http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Arnt_Ove_Gregersen.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Arnt_Ove_Gregersen.html</guid>
<pubDate>Sun, 9 Jan 2011 12:00:00 +0100</pubDate>
- <description>
-<p>Inspirert av
+ <description><p>Inspirert av
<a href="http://raphaelhertzog.com/tag/interview/">intervjurunden</a>
som Raphael Hertzog har startet med folk i Debianprosjektet, fikk jeg
lyst til å gjøre det samme med folk i
<p><strong>Hvem er du, og hva driver du med til daglig?</strong></p>
-<p>Mitt navn er Arnt Ove Gregersen, jeg er en småbarnfar på 32 år som
-for tiden bor Trondheim. Her jobber jeg som systemutvikler i et firma
+<p><!-- Mitt navn er Arnt Ove Gregersen, jeg er en småbarnfar på 32 år som
+for tiden bor Trondheim. -->
+Mitt navn er Arnt Ove Gregersen, jeg er 32 år og bor for tiden i Trondheim.
+
+Her jobber jeg som systemutvikler i et firma
som heter <a href="http://www.geomatikk-ikt.no/">Geomatikk IKT AS</a>,
hvor jeg er på et Vegmeldings-prosjekt for Statens Vegvesen. På
fritiden er jeg styreleder i FRISK (Fri programvare i skolen) og
<link>http://people.skolelinux.org/pere/blog/Hva_har_mine_representanter_stemt_i_Storinget_.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Hva_har_mine_representanter_stemt_i_Storinget_.html</guid>
<pubDate>Tue, 11 Jan 2011 14:25:00 +0100</pubDate>
- <description>
-<p>I England har <a href="http://www.mysociety.org/">MySociety</a>
+ <description><p>I England har <a href="http://www.mysociety.org/">MySociety</a>
laget en genial tjeneste for å holde øye med parlamentet. Tjenesten
<a href="http://www.theyworkforyou.com/">They Work For You</a> lar
borgerne få direkte og sanntidsoppdatert innsyn i sine representanters
<link>http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Viggo_Fedreheim.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Viggo_Fedreheim.html</guid>
<pubDate>Wed, 12 Jan 2011 12:00:00 +0100</pubDate>
- <description>
-<p>Jeg fortsetter min intervjuserie med folk i
+ <description><p>Jeg fortsetter min intervjuserie med folk i
<a href="http://www.skolelinux.org/">Skolelinuxprosjektet</a>. Denne
gang er det en av folkene som har vært med lenge og som har tatt i
bruk Skolelinux på alle skolene i Narvik kommune som skal i ilden.
<link>http://people.skolelinux.org/pere/blog/Chrome_plan_to_drop_H_264_support_for_HTML5__lt_video_gt_.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Chrome_plan_to_drop_H_264_support_for_HTML5__lt_video_gt_.html</guid>
<pubDate>Wed, 12 Jan 2011 22:10:00 +0100</pubDate>
- <description>
-<p>Today I discovered
+ <description><p>Today I discovered
<a href="http://www.digi.no/860070/google-dropper-h264-stotten-i-chrome">via
digi.no</a> that the Chrome developers, in a surprising announcement,
<a href="http://blog.chromium.org/2011/01/html-video-codec-support-in-chrome.html">yesterday
<link>http://people.skolelinux.org/pere/blog/The_video_format_most_supported_in_web_browsers_.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/The_video_format_most_supported_in_web_browsers_.html</guid>
<pubDate>Sun, 16 Jan 2011 00:20:00 +0100</pubDate>
- <description>
-<p>The video format struggle on the web continues, and the three
+ <description><p>The video format struggle on the web continues, and the three
contenders seem to be Ogg Theora, H.264 and WebM. Most video sites
seem to use H.264, while others use Ogg Theora. Interestingly enough,
the comments I see give me the feeling that a lot of people believe
<link>http://people.skolelinux.org/pere/blog/Radiomerking_med_RFID.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Radiomerking_med_RFID.html</guid>
<pubDate>Sun, 16 Jan 2011 11:40:00 +0100</pubDate>
- <description>
-<p>Bruken av RFID brer om seg. Klær, matvarer, borgere, elever,
+ <description><p>Bruken av RFID brer om seg. Klær, matvarer, borgere, elever,
studenter og ansatte blir radiomerket på en måte som gjør det enkelt å
følge med på hvor de beveger seg.
<a href="http://www.wired.com/science/discoveries/news/2003/10/60898">Historien
<link>http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Embrik_Kaslegard.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Embrik_Kaslegard.html</guid>
<pubDate>Sun, 16 Jan 2011 12:00:00 +0100</pubDate>
- <description>
-<p>Neste ut i min intervjuserie med folk i
+ <description><p>Neste ut i min intervjuserie med folk i
<a href="http://www.skolelinux.org/">Skolelinuxprosjektet</a> er
lærer, mangeårig bidragsyter på epostlistene og tidligere
Skolelinux-administrator på en skole i Hemsedal.</p>
<link>http://people.skolelinux.org/pere/blog/Masteroppgave_fra_UiO_om_RFID_sikkerhet.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Masteroppgave_fra_UiO_om_RFID_sikkerhet.html</guid>
<pubDate>Tue, 18 Jan 2011 15:10:00 +0100</pubDate>
- <description>
-<p>Mens jeg forsetter famlingen rundt i RFID-verden, kom jeg over en
+ <description><p>Mens jeg forsetter famlingen rundt i RFID-verden, kom jeg over en
masteroppgave fra Institutt for Informatikk ved Universitetet i Oslo
med tittelen
"<a href="http://www.duo.uio.no/sok/work.html?WORKID=86475">Investigation
<link>http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Sturle_Sunde.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Sturle_Sunde.html</guid>
<pubDate>Wed, 19 Jan 2011 12:00:00 +0100</pubDate>
- <description>
-<p>Denne gang har jeg fått tak i en mangeårig unix-mann som etter
+ <description><p>Denne gang har jeg fått tak i en mangeårig unix-mann som etter
mange år ved Universitetet i Oslo, der jeg først traff ham, har
flyttet tilbake til vestlandet, og der bidratt til å revitalisere
<a href="http://www.skolelinux.org/">Skolelinux</a>-oppsettet i
<link>http://people.skolelinux.org/pere/blog/Which_module_is_loaded_for_a_given_PCI_and_USB_device_.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Which_module_is_loaded_for_a_given_PCI_and_USB_device_.html</guid>
<pubDate>Sun, 23 Jan 2011 00:20:00 +0100</pubDate>
- <description>
-<p>In the
+ <description><p>In the
<a href="http://packages.qa.debian.org/discover-data">discover-data</a>
package in Debian, there is a script to report useful information
about the running hardware for use when people report missing
<link>http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Morten_Amundsen.html</link>
<guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Skolelinux_intervju__Morten_Amundsen.html</guid>
<pubDate>Sun, 23 Jan 2011 12:00:00 +0100</pubDate>
- <description>
-<p>Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt
+ <description><p>Denne gangen er det Tromsøkontoret til Friprog-senteret, og nyvalgt
styremedlem i <a href="http://www.friprogramvareiskolen.no/">foreningen
FRISK</a> jeg har fått i tale i min intervjuserie med
<a href="http://www.skolelinux.org/">Skolelinux</a>-folk.</p>
</description>
</item>
+ <item>
+ <title>Using NVD and CPE to track CVEs in locally maintained software</title>
+ <link>http://people.skolelinux.org/pere/blog/Using_NVD_and_CPE_to_track_CVEs_in_locally_maintained_software.html</link>
+ <guid isPermaLink="true">http://people.skolelinux.org/pere/blog/Using_NVD_and_CPE_to_track_CVEs_in_locally_maintained_software.html</guid>
+ <pubDate>Fri, 28 Jan 2011 15:40:00 +0100</pubDate>
+ <description><p>The last few days I have looked at ways to track open security
+issues here at my work with the University of Oslo. My idea is that
+it should be possible to use the information about security issues
+available on the Internet, and check our locally
+maintained/distributed software against this information. It should
+allow us to verify that no known security issues are forgotten. The
+CVE database listing vulnerabilities seem like a great central point,
+and by using the package lists from Debian mapped to CVEs provided by
+the testing security team, I believed it should be possible to figure
+out which security holes were present in our free software
+collection.</p>
+
+<p>After reading up on the topic, it became obvious that the first
+building block is to be able to name software packages in a unique and
+consistent way across data sources. I considered several ways to do
+this, for example coming up with my own naming scheme like using URLs
+to project home pages or URLs to the Freshmeat entries, or using some
+existing naming scheme. And it seem like I am not the first one to
+come across this problem, as MITRE already proposed and implemented a
+solution. Enter the <a href="http://cpe.mitre.org/index.html">Common
+Platform Enumeration</a> dictionary, a vocabulary for referring to
+software, hardware and other platform components. The CPE ids are
+mapped to CVEs in the <a href="http://web.nvd.nist.gov/">National
+Vulnerability Database</a>, allowing me to look up know security
+issues for any CPE name. With this in place, all I need to do is to
+locate the CPE id for the software packages we use at the university.
+This is fairly trivial (I google for 'cve cpe $package' and check the
+NVD entry if a CVE for the package exist).</p>
+
+<p>To give you an example. The GNU gzip source package have the CPE
+name cpe:/a:gnu:gzip. If the old version 1.3.3 was the package to
+check out, one could look up
+<a href="http://web.nvd.nist.gov/view/vuln/search?cpe=cpe%3A%2Fa%3Agnu%3Agzip:1.3.3">cpe:/a:gnu:gzip:1.3.3
+in NVD</a> and get a list of 6 security holes with public CVE entries.
+The most recent one is
+<a href="http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-0001">CVE-2010-0001</a>,
+and at the bottom of the NVD page for this vulnerability the complete
+list of affected versions is provided.</p>
+
+<p>The NVD database of CVEs is also available as a XML dump, allowing
+for offline processing of issues. Using this dump, I've written a
+small script taking a list of CPEs as input and list all CVEs
+affecting the packages represented by these CPEs. One give it CPEs
+with version numbers as specified above and get a list of open
+security issues out.</p>
+
+<p>Of course for this approach to be useful, the quality of the NVD
+information need to be high. For that to happen, I believe as many as
+possible need to use and contribute to the NVD database. I notice
+RHEL is providing
+<a href="https://www.redhat.com/security/data/metrics/rhsamapcpe.txt">a
+map from CVE to CPE</a>, indicating that they are using the CPE
+information. I'm not aware of Debian and Ubuntu doing the same.</p>
+
+<p>To get an idea about the quality for free software, I spent some
+time making it possible to compare the CVE database from Debian with
+the CVE database in NVD. The result look fairly good, but there are
+some inconsistencies in NVD (same software package having several
+CPEs), and some inaccuracies (NVD not mentioning buggy packages that
+Debian believe are affected by a CVE). Hope to find time to improve
+the quality of NVD, but that require being able to get in touch with
+someone maintaining it. So far my three emails with questions and
+corrections have not seen any reply, but I hope contact can be
+established soon.</p>
+
+<p>An interesting application for CPEs is cross platform package
+mapping. It would be useful to know which packages in for example
+RHEL, OpenSuSe and Mandriva are missing from Debian and Ubuntu, and
+this would be trivial if all linux distributions provided CPE entries
+for their packages.</p>
+</description>
+ </item>
+
</channel>
</rss>
projects / homepage.git / blobdiff