Odpověď na názor
Odpovídáte na názor ke zprávičce Repozitář node-ip archivován kvůli nadhodnocenému CVE.
-
Filip JirsákStříbrný podporovatelNevšiml jsem si, že by se počtem commitů někdo chlubil v CV. Ale hlavně – za tím, kdo ty commity posílá, je ještě nějaký správce projektu, který by autora poslal někam, pokud by mu posílal příspěvky rozdělené na commity nesmyslně, jen kvůli počtu.
Jenže za tím, kdo hlásí CVE, už prakticky nikdo není. I když dotyčný nakonec to CVE odvolá, spousta nástrojů to vůbec nezohledňuje. Prostě publikovat CVE je možné bez jakékoli odpovědnosti, ale na druhé straně se CVE používá k rozhodnutím, která mají dost vážné dopady.
pokud se ukaze, ze nejaky jedinec opakovane reportuje vylozene nesmysly, tak se to o nem drive ci pozdeji dozvite
Můžete jmenovat někoho, o kom jste se takhle dozvěděl? A jak se to zohledňuje v CVE, které vydává – mají nižší skóre? Nebo auditovací nástroje CVE od takového člověka ignorují? Nic z toho neplatí, že? Prostě tam není žádná odpovědnost – na jedné straně si může o CVE zažádat kdokoli, kdo jde zrovna kolem, skóre to dostane tak vysoké, jak tam nakliká. Pak to probublá procesem, který tomu dodá zdání důležitosti, a na konci se kvůli tomu musí dělat odstávka nějakého důležitého systému, protože to CVE vypadlo z nějakého automatizovaného auditu – a už nikdo neřeší, že kdyby v daném systému byla ta chyba opravdu zneužitelná, aplikovaná „oprava“ nic nevyřeší.Ten problem proste ma reseni - zacina to uz u toho mit koule na ty jedince, co reportuji nesmysly verejne ukazovat prstem.
Vždyť jenom tady na Rootu je to několikátá zprávička o tom, jak bylo někde vytvořeno úplně nesmyslně skórované CVE. Takže v praxi se to děje ještě mnohem častěji. Nadávají na to vývojáři a správci projektů, nadávají na to správci distribučních balíčků – ale nezdá se, že by se něco změnilo. Naopak pořád lidé jako RDa výše tvrdí, že podle toho čísla řadí, co má větší prioritu a čemu už ení potřeba se věnovat.Mimochodem, on to ani nemusí být od někoho záměr reportovat to špatně. Ono to může být jednoduše tak, že poctivě zakliká to, na co se ho kalkulátor SCSS zeptá. Je to exploitovatelné po síti? No můžete zaručit, že tu knihovnu nepoužije někdo v aplikaci komunikující po síti pro data přicházející ze sítě? No nemůžete. Takže je to exploitovatelné po síti – každá knihovna prakticky automaticky. A tak dále. Že jediná síťová komunikace je zjišťování, zda není dostupná nová verze aplikace? Že kdyby vám autor té aplikace chtěl podstrčit škodlivý kód, šoupne ho do další verze té aplikace a nebude to dělat složitě exploitováním přes číslo verze? Nezájem, skóre 9,8, další.
