Embed Notice

HTML Code

<blockquote style="position: relative; padding-left: 55px;"><section><a href="https://infosec.exchange/users/isotopp/statuses/114346567513593725">Kris (isotopp@infosec.exchange)'s status on Wednesday, 16-Apr-2025 17:02:36 JST</a><a href="https://infosec.exchange/@isotopp" title="isotopp@infosec.exchange"><img src="https://gnusocial.jp/avatar/283617-48-20250423130554.webp" width="48" height="48" alt="Kris" style="position: absolute; left: 0; top: 0;">Kris</a><div><a href="https://infosec.exchange/@isotopp/114346545204923256" rel="in-reply-to">in reply to</a></div></section><article>Wir machen das mit den CVE-Nummern also für bestimmte Bugs, "Security Bugs", aber nicht für andere Bugs – alle anderen.Ein Freund sagt:Die CVEs sind Bookkeeping. Das ist wichtig und sinnvoll, aber es rettet Deine Cybersecurity nicht. Es erleichtert aber, darüber zu reden. und in derselben Discord Message einen Absatz weiter untenVon allen kritischen Lücken der letzten Jahre hatte ich erfahren, bevor der CVE raus war.Ich fasse ihn zusammen: Du hast von den CVE erfahren, bevor sie CVE waren und ohne den CVE Prozess. Der ist also nicht entscheidend gewesen für für Informationsverbreitung und nicht für die Bewertung und nicht für das Handeln.Der CVE gibt Dir also eine Bugnummer. Das ist alles. Man könnte auch den Bug im Bugtracker des jeweiligen Projektes referenzieren, jedenfalls bei der Software, die OSS ist – das Problem sind eher die unsichtbaren Bugtracker von propietärer Software.Der Linux Kernel hat nicht ohne Grund bei dem ganzen CVE Zeug nicht mitgemacht und sich auch geweigert, “Security” bugs anders als andere bugs zu behandeln. Das hat gut funktioniert. Dann haben Leute an denen vorbei CVE Nummern für Kernel Bugs bestellt, und das hat totales Chaos verursacht.Die Reaktion der Kernel-Leute war, sich zur CNA machen zu lassen, also selbst CVE-Nummern zu vergeben und dann diese Macht zu nutzen, um CVE-Nummern zu produzieren. Das war dann auch nicht recht, "weil es den Prozess in unserer Organisation überlastet hat."Je nun.Wenn Du nicht Linux einsetzt, sondern RedHat, dann lies halt deren Bulletins und halte Dich nicht mit CVE-Nummern auf.CVE sind ein System zur Verarbeitung von Bugs, das an allen Software Supply Chain und Fehlerbearbeitungen vorbei läuft und Prozesse belastet. Das wäre eventuell okay in Notfällen, aber meist sind es halt keine."Meist" as in "weitaus überwiegend."Das Problem ist, daß "Deine Organisation" kein sinnvolles Software Supply Chain Management hat für Software und ihre Fehler. Deine Org ignoriert das meist, und wenn das nicht geht, dann verwendet sie die CVE um Supply Chain Management zu simulieren.Das geht nun nicht mehr.Ich seh das als Chance.</article><footer><a rel="bookmark" href="https://gnusocial.jp/conversation/4902551#notice-9604371">In conversation</a><time datetime="2025-04-16T17:02:36+09:00" title="Wednesday, 16-Apr-2025 17:02:36 JST">about 12 days ago</time> from <a href="https://infosec.exchange/@isotopp/114346567513593725" rel="external" title="Sent from infosec.exchange via ActivityPub">infosec.exchange</a><a href="https://infosec.exchange/@isotopp/114346567513593725">permalink</a></footer></blockquote>

Corresponding Notice

Embed this notice
Kris (isotopp@infosec.exchange)'s status on Wednesday, 16-Apr-2025 17:02:36 JST Kris
in reply to
Wir machen das mit den CVE-Nummern also für bestimmte Bugs, "Security Bugs", aber nicht für andere Bugs – alle anderen.
Ein Freund sagt:
Die CVEs sind Bookkeeping. Das ist wichtig und sinnvoll, aber es rettet Deine Cybersecurity nicht. Es erleichtert aber, darüber zu reden.
und in derselben Discord Message einen Absatz weiter unten
Von allen kritischen Lücken der letzten Jahre hatte ich erfahren, bevor der CVE raus war.
Ich fasse ihn zusammen:
Du hast von den CVE erfahren, bevor sie CVE waren und ohne den CVE Prozess.
Der ist also nicht entscheidend gewesen für für Informationsverbreitung und nicht für die Bewertung und nicht für das Handeln.
Der CVE gibt Dir also eine Bugnummer. Das ist alles. Man könnte auch den Bug im Bugtracker des jeweiligen Projektes referenzieren, jedenfalls bei der Software, die OSS ist – das Problem sind eher die unsichtbaren Bugtracker von propietärer Software.
Der Linux Kernel hat nicht ohne Grund bei dem ganzen CVE Zeug nicht mitgemacht und sich auch geweigert, “Security” bugs anders als andere bugs zu behandeln. Das hat gut funktioniert.
Dann haben Leute an denen vorbei CVE Nummern für Kernel Bugs bestellt, und das hat totales Chaos verursacht.
Die Reaktion der Kernel-Leute war, sich zur CNA machen zu lassen, also selbst CVE-Nummern zu vergeben und dann diese Macht zu nutzen, um CVE-Nummern zu produzieren. Das war dann auch nicht recht, "weil es den Prozess in unserer Organisation überlastet hat."
Je nun.
Wenn Du nicht Linux einsetzt, sondern RedHat, dann lies halt deren Bulletins und halte Dich nicht mit CVE-Nummern auf.
CVE sind ein System zur Verarbeitung von Bugs, das an allen Software Supply Chain und Fehlerbearbeitungen vorbei läuft und Prozesse belastet. Das wäre eventuell okay in Notfällen, aber meist sind es halt keine.
"Meist" as in "weitaus überwiegend."
Das Problem ist, daß "Deine Organisation" kein sinnvolles Software Supply Chain Management hat für Software und ihre Fehler. Deine Org ignoriert das meist, und wenn das nicht geht, dann verwendet sie die CVE um Supply Chain Management zu simulieren.
Das geht nun nicht mehr.
Ich seh das als Chance.
In conversationabout 12 days ago from infosec.exchangepermalink

Public

Embed Notice

HTML Code

Corresponding Notice