為什么我們必須修復僅在測驗范圍內使用的庫上的安全漏洞?
我一直試圖在網上找到答案,但沒有運氣所以想在這里問。
例如:https :
//nvd.nist.gov/vuln/detail/CVE-2021-23463我發現了這個漏洞,但 H2 包含<scope>test</scope>在 maven 中。
提前致謝!
uj5u.com熱心網友回復:
TL;DR - 確定不修復漏洞(在您的測驗中)是否安全可能比僅僅修復漏洞更安全。
為什么我們必須修復僅在測驗范圍內使用的庫上的安全漏洞?
我可以想到您可能必須修復漏洞的幾個原因:
因為您的管理層或安全團隊告訴您必須這樣做。他們可能會出于遵守某些內部政策或某些外部合規規則的原因告訴您這一點……甚至出于法律原因。或者也許是因為有人對此有“事情”。他們可能無法區分生產代碼和測驗代碼。
因為您無法最終證明測驗范圍內的漏洞不構成風險。
例如,可以訪問您的 CI 基礎設施的不良行為者利用該漏洞嗎?你能證明這是不可能的嗎?或者這不會提供一種對重要的事情造成重大損害的方法?
反之亦然:
- 如果管理層沒有說您必須修復它們,并且您可以最終證明該漏洞不是您的測驗基礎架構中的風險,那么您可以決定不修復它們。
- 但是,如果您的評估不正確,那么責任和后果將落在您身上。
簡而言之……您需要決定是否應該冒險忽略該漏洞。
uj5u.com熱心網友回復:
測驗可能會由 CI 在您的內部基礎架構上運行。或者只是在您的開發人員機器上。它們將在您的基礎架構內部或多或少的某個地方運行。
可以通過多種方式利用漏洞,您提到的一種是 XXE。惡意 xml 檔案可用于在處理它的主機上執行操作。這可能允許內部非特權攻擊者(例如開發人員)破壞可能訪問更有價值憑據的 CI。或者它可能允許外部攻擊者破壞開發人員 PC(通過某種方式提供惡意 xml 輸入),然后從那里破壞 CI,等等。
您可以看到重點,您不只是想保護您的生產環境。當然,這可能是最重要的,但保護它的方法是應用深度防御,并降低整個基礎設施的風險。
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/406414.html
標籤: