От ошибки до катастрофы: преувеличение опасности в мире CVE

🤔 Фёдор Индутный, автор платформы Io.js (форк Node.js) и член технического комитета по разработке Node.js, высказал опасения относительно назначения CVE-идентификаторов для ложных отчетов об уязвимостях, не соответствующих реальной угрозе.

🛠 Присвоение идентификаторов происходит без адекватной проверки, в результате чего проекты сталкиваются с незаслуженной критикой и нагрузкой.

📉 В недавнем случае с библиотекой node-ip ложное присвоение CVE-идентификатора привело к уменьшению её популярности и к увеличению количества обращений к разработчикам, создав дополнительные трудности для команды.

#CVE #NodeJS #Уязвимости @SecLabNews