再保险:作业恶意软件

根据名称解析和名称空间是如何管理(或不),它可以被攻击在某些情况下,通过自动化的依存关系解析器。再一次,如果有恶意代码分发和使用有一些特殊的原因,我们不想告诉别人,宁愿忽略它呢?我认为减少CVE的覆盖范围没有多大意义,特别是在现代世界如何agile-hyper-dev-sec-ops-scrum anynmore(我不知道这个术语就使一个大)实际上是使用大量的这些东西的方式,忽略一切除了cf谈到的问题。

在星期一,2018年8月13日下午1:31,耶利哥<jericho@attrition.org>写道:

在星期一,2018年8月13日,Kurt Seifried写道:

:一个后门是一个漏洞。我认为问题是CVE过去处理
:“哎呀我们犯错误”,而不是“哦,一个恶意的演员了
:目的”。
:
最终用户:无所谓,实际上,后门
:更糟的是,因为肯定有人知道最脆弱和
:可能打算使用它。所以做这些事情需要cf,跟踪和
:修复受影响的人?是的。
:
:我试着去想象这样一个场景:一个软件或服务用户
:“哦,这可采的缺陷是一个后门,因此没有CVE,因此我们不
:需要修复它”和啊. .我无法想象,甚至关闭。


理所当然。但一个恶意的模块,也有类似的名字作为另一个不是
后门。

- - -

Kurt Seifried
kurt@seifried.org