Когда у тебя в скане всё подряд 9.8 — грош цена такому отчёту

[olga5844]

Достало. Прилетает отчёт от подрядчика, 240 находок, из них 190 помечены Critical 9.0+. Открываю — там self-XSS, отсутствие security headers и устаревший jQuery в одном ряду с реальной RCE. Если всё критично, то ничего не критично, как чинить-то по такому приоритезировать?

[filipp_proxy20]

О, наш любимый жанр. У меня в Tenable половина критов — это CVE на пакеты, которые в проде вообще не загружаются в память. Сижу и руками им EPSS проставляю, потому что иначе разрабы просто перестают читать тикеты.

[polina_spb]

Так это болезнь самого CVSS, а не подрядчиков. Базовый вектор не знает ничего про ваш контекст. Network/Low complexity и привет, 9.8, даже если сервис висит во внутреннем сегменте за двумя файрволами.

[valera9507]

Классика — Spring4Shell, 9.8 Critical по NVD. А по факту эксплуатируется только при конкретной связке Tomcat + JDK9+ + war-деплой. У нас половина инстансов под Spring Boot fat jar, им вообще пофиг было, но менеджмент увидел 9.8 и устроил пожар на выходные.

[anton_py83]

Самое смешное это когда один и тот же CVE у разных вендоров оценён по-разному. Был кейс на ядре линукса: CISA натянула 9.8 с Network вектором, Red Hat поставил Local и Low по availability, а мейнтейнер вообще считал это мелочью. Кому верить?

[rootomega1207]

Вот именно. curl с Daniel Stenberg во главе вообще регулярно воюет с тем, что им в CVE базе ставят High на то, что они сами оценивают как Low. И он прав по сути, но автоматические сканеры берут максимальную цифру и трубят тревогу.

[elena_msk]

Мы на этом обожглись в k8s. Trivy выдаёт пачку Critical на базовый образ, начинаешь копать — уязвимый бинарь даже не установлен, просто пакет в манифесте лежит. Перешли на проверку reachability, шума стало на порядок меньше.

[valera_vector]

А я как разраб скажу с другой стороны баррикад: когда секьюрити кидает тебе 190 'критов' разом и говорит 'почини до пятницы' — ты просто закрываешь вкладку. Доверие к отчёту обнуляется после третьего ложного 9.8.

[semyon_null56]

backend_kate плюсую, поэтому мы и начали фильтровать. Лучше дать разрабам 8 реальных проблем, чем 200 'на всякий случай'. Иначе они и эти 8 проигнорят.

[egor_git62]

EPSS реально спасает. CVSS 7.5 с активной эксплуатацией в дикой природе опаснее, чем 9.8, для которого за два года так и не появилось ни одного PoC. Приоритезировать надо по 'будут ли реально бить', а не по тяжести в вакууме.