Názor ke zprávičce Repozitář node-ip archivován kvůli nadhodnocenému CVE od RDa - Zas melete blbosti, jake nahodne vygenerovane cislo ?? CVE...

Zas melete blbosti, jake nahodne vygenerovane cislo ??

CVE score ma danou metodologii urcovani (CVSS), a muzete si to klidne vyklikat pres nejaky GUI nastroj, a la: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator (a jak vidite, i ta metodologie se vyviji, kdyz tam je uz verze 3.1)

Zranitelnost tedy bude mit takove skore, jake vyplyne z jeji charakteru - a pokud chcete vyssi, tak holt musite dodat/nalezt i exploit, idealne sitovej. Tezko si muze nekdo jen tak nadhodnotit score pro svuj objev.

A ciselne hodnoceni umoznuje alespon seradit problemy, aby se dalo prioritizovat jejich reseni. Metoda vazeneho prumeru vam nic nerika, ze? A ani thresholding - nekde musi byt hranice co je povazovano za OK a co je pres caru. Jinak by to byla anarchie celkem a nic se nevyresilo. A prave proto, ze automat potrebuje nejakou metriku k rozhodovani - idealne redukovanou na jedno cislo, existuje CVSS.

Odpovednost za CVE nese autor exploitovatelneho reseni. Ma pracovat pecliveji a byt vubec rad, ze mu to nekdo pomaha vylepsovat.