Názor ke zprávičce Repozitář node-ip archivován kvůli nadhodnocenému CVE od Filip Jirsák - Nějaké hodnocení je potřeba, ale to současné je...

Nějaké hodnocení je potřeba, ale to současné je kontraproduktivní – protože je to v podstatě náhodně vygenerované číslo, ke kterému se ale ve spoustě případů přistupuje, jako kdyby mělo nějaký význam.

Dnes je to jen honba za co nejvyšším číslem. Pokud to někdo ohodnotí špatně, žádnou odpovědnost za to nenese – pro něj je to jenom plus, protože si může do CV napsat, že objevil CVE se skórem 12,4. Negativa ale dopadají na všechny okolo, od vývojářů přes distributory po uživatele, protože tam všude se tím musí zabývat, vyhodnotit, že ta CVE se skóre 9,8 u nich není zneužitelná, řešit to jako incident a řešit na to výjimku, protože nějaký automat umí porovnat jenom ta čísla. A tohle všechno řeší ti samí lidé, kteří by místo toho řešili reálnou bezpečnost.