De afgelopen maanden heb ik bijgehouden hoe ik zelf eigenlijk hoor over nieuwe CVE's of supply chain attacks in tooling die ik gebruik. Het komt elke keer neer op een combinatie van:
- RSS-feeds (NVD, vendor blogs, BleepingComputer, Talos)
- X / LinkedIn
- Een paar Slack- en Discord-kanalen
- Wat (ex)collega's doorsturen via DM

De rode draad: alles is reactief. Je moet er zijn op het moment dat iets verschijnt. Voor een paar recente disclosures in tools waar ik dagelijks van afhankelijk ben, was ik een halve werkdag te laat.

Wat ik tot nu toe heb geprobeerd:

- Dependabot / GitHub Security Alerts: werkt prima voor repo's die ik actief beheer, maar dekt de rest van mijn stack niet (databases, CI runners, infra-tools die ik niet expliciet importeer).
- OSV.dev: goede database, maar ik moet die zelf bevragen.
- Vendor mailinglijsten: Op zich oké maar vereist emails checken en creeert ruis in m'n inbox
- CISA KEV: hoog signaal, maar per definitie laat (pas opgenomen na exploits).
- Uiteindelijk heb ik zelf iets gebouwd omdat het bovenstaande het voor mij niet oploste. Mobiel push notificaties, gefilterd op de tech stack die je opgeeft, met correlatie tussen meerdere bronnen voordat er een melding uitgaat.

Wat ik graag van jullie wil weten:

1. Wat werkt voor jullie? Vooral benieuwd naar setups die meerdere bronnen samenbrengen op één plek.
2. Heeft iemand zelf ingestion-scripts of een eigen aggregator gebouwd, en op welk punt werd dat qua onderhoud niet meer te doen?
3. Zijn er minder bekende bronnen (sector-specifiek, regionaal, vendor-specifiek) die voor jullie disproportioneel veel signalen opleveren?
4. Voor wie dit professioneel doet: wat is volgens jullie het verschil tussen een goede persoonlijke workflow en wat een serieus threat intel-team in een SOC tot zijn beschikking heeft?

Benieuwd of mijn aanpak klopt / achterloopt, of dat het bij iedereen neerkomt op een combinatie van RSS-readers en wat geluk.