Odpověď na názor
Odpovídáte na názor ke zprávičce Repozitář node-ip archivován kvůli nadhodnocenému CVE.
-
Ano, k dilcim excesum obcas dochazi
Takhle to možná vypadá z pohledu člověka, který nemá globální obrázek o současném stavu a vychází jen z těch pár případů, které někoho naštvaly natolik, aby o nich napsal článek.
Ještě tak před pěti lety bylo standardem, že report obsahoval aspoň myšlenku toho, jak by se chyba dala aspoň teoreticky využít. Dnes už se něčím takovým neobtěžuje skoro nikdo. Naopak, běžným standardem je, že se strojově prohledávajá historie na commity určitého typu a k nim se automaticky generují šablonové CVE, aniž by se někdo zabýval tím, jestli existuje aspoň teoreticky nějaký scénář, jak by z toho mohl být problém.
A ani úplně nesmysly už dávno nejsou excesem, ale spíš normou. Systém je ale nastavený tak, že vytvořit CVE je "zadarmo" a bez jakékoli kontroly, zatímco zpochybnit skóre nebo samu podstatu je náročné a odrazující. Párkrát to zkusíte a zjistíte, že je většinou jednodušší prostě opravovat/backportovat i úplné nesmysly, než to podstupovat. Jenže to právě vede k těm úžasným statistikám, jak mizivé procento CVE je úspěšně zpochybněno (nebo se o to někdo aspoň pokusil).
Ten systém je prohnilý od základu a jedinou možností, jak z něj udělat něco užitečného, je založit ho na úplně jiných principech.
