Názor ke zprávičce Repozitář node-ip archivován kvůli nadhodnocenému CVE od Michal Kubeček - preskocil jste to podstatne - zabyvat se tim...

preskocil jste to podstatne - zabyvat se tim dohledanim jedince, co score v konkretnim pripade nadhodnoti. Chapu, je to moc prace. A holt se tu projevuje typicka vlastnost - tedy lenost. Kverulovat, ze CVSS je spatne je vyrazne jednodussi.

A jak konkrétně můžeme přesvědčit zákazníka, aby se zabýval tím, jestli to skóre není nadhodnocené? Zákazníkovi jeho automatizovaný nástroj vyhodí, že je tam "závažná bezpečnostní chyba" a zákazník začne ječet, že se to musí opravit. Můžete mu stokrát vysvětlovat, že ta chyba vůbec není závažná (a nezřídka ani bezpečnostní, občas ani chyba), ale pro něj to je posvátné číslo od Autority a trvá na tom, že to tak prostě je a basta.

Základní problém je v tom, že nareportovat CVE může v podstatě kdokoli, vyplnit si tam může co chce a "závažná bezpečnostní chyba" je na světě. Naopak, zpochybnit skóre nebo samotnou podstatu té "bezpečnostní chyby" je náročné, na dlouhé lokte a většinou je nakonec jednodušší backportovat i úplně zbytečné opravy, než to martyrium podstupovat pořád dokola. Vzhledem k nezadržitelně rostoucímu počtu bagatelních CVE se ten problém stále prohlubuje. Čehož pak příslušné instituce zneužívají a poukazují na to, jak systém krásně funguje, protože zpochybněných CVE je vlastně strašně málo.

Kvalitě software to nepomáhá vůbec, naopak, protože čím dál větší část času vývojářů je spotřebovávána na backportování zbytečných "oprav" a administrativu s tím spojenou místo toho, aby mohli dělat něco užitečného.