Embed Notice

HTML Code

<blockquote style="position: relative; padding-left: 55px;"><section><a href="https://infosec.exchange/users/isotopp/statuses/114346588154586784">Kris (isotopp@infosec.exchange)'s status on Wednesday, 16-Apr-2025 18:43:05 JST</a><a href="https://infosec.exchange/@isotopp" title="isotopp@infosec.exchange"><img src="https://gnusocial.jp/avatar/283617-48-20250423130554.webp" width="48" height="48" alt="Kris" style="position: absolute; left: 0; top: 0;">Kris</a><div><a href="https://infosec.exchange/@isotopp/114346575895477338" rel="in-reply-to">in reply to</a></div></section><article><p>Wir brauchen eine Sprache und Prozesse, die Bugs verarbeitet.</p><p>Nicht "Security-Bugs."</p><p>Sondern alle Bugs, und ihre Schwere und die Mitigationskosten im Kontext UNSERER ORGANISATION kontextualisiert.</p><p>"Toll, log4j wurde gefunden und auf einer Konferenz präsentiert." Und ignoriert.<br>Ein Haufen Minecraft Server gehen runter, Jahre später. Der Bug bekommt eine CVE-Nummer.</p><p>Hilft Dir das?</p><p>Es beantwortet nicht, ob es Dich betrifft, welche Software es betrifft, wie viele unterschiedlich versionierte Versionen von log4j in diesem Binary sind und was Du statt Subsonic einsetzt, das betroffen ist aber das seit 5 Jahren keine Commits mehr hat.</p><p>Software Supply Chain Management hatte geholfen und weitaus früher, weil das schon geklingelt hätte, wenn ein Projekt einschläft, ohne daß Bugs vorliegen.</p><p>Nur eine sinnvoll gemanagte Supply Chain kann so was. Aber die ist für alle Bugs.</p><p>Oder auch:</p>Wenn eine CVE-Nummer so wichtig ist, wieso haben manche Bugs dann Namen?</article><footer><a rel="bookmark" href="https://gnusocial.jp/conversation/4902551#notice-9605026">In conversation</a><time datetime="2025-04-16T18:43:05+09:00" title="Wednesday, 16-Apr-2025 18:43:05 JST">about 2 months ago</time> <span>from <span><a href="https://infosec.exchange/@isotopp/114346588154586784" rel="external" title="Sent from infosec.exchange via ActivityPub">infosec.exchange</a></span></span><a href="https://infosec.exchange/@isotopp/114346588154586784">permalink</a></footer></blockquote>

Corresponding Notice

Embed this notice
Kris (isotopp@infosec.exchange)'s status on Wednesday, 16-Apr-2025 18:43:05 JST Kris
in reply to
Wir brauchen eine Sprache und Prozesse, die Bugs verarbeitet.
Nicht "Security-Bugs."
Sondern alle Bugs, und ihre Schwere und die Mitigationskosten im Kontext UNSERER ORGANISATION kontextualisiert.
"Toll, log4j wurde gefunden und auf einer Konferenz präsentiert." Und ignoriert.
Ein Haufen Minecraft Server gehen runter, Jahre später. Der Bug bekommt eine CVE-Nummer.
Hilft Dir das?
Es beantwortet nicht, ob es Dich betrifft, welche Software es betrifft, wie viele unterschiedlich versionierte Versionen von log4j in diesem Binary sind und was Du statt Subsonic einsetzt, das betroffen ist aber das seit 5 Jahren keine Commits mehr hat.
Software Supply Chain Management hatte geholfen und weitaus früher, weil das schon geklingelt hätte, wenn ein Projekt einschläft, ohne daß Bugs vorliegen.
Nur eine sinnvoll gemanagte Supply Chain kann so was. Aber die ist für alle Bugs.
Oder auch:
Wenn eine CVE-Nummer so wichtig ist, wieso haben manche Bugs dann Namen?
In conversationabout 2 months ago from infosec.exchangepermalink

Public

Embed Notice

HTML Code

Corresponding Notice