Sicurezza: cinque miti da sfatare in merito ai CVE

Diamo sempre per scontato, per via del fatto che pubblichiamo costantemente notizie di nuovi CVE, che tutti sappiano di cosa si stia parlando. Vero o no, intanto chiariamo. L’acronimo CVE sta per Common Vulnerabilities and Exposures ed è un’indicizzazione per le problematiche di sicurezza informatica, pubblicate presso il sito https://www.cve.org/ (ed in origine su https://cve.mitre.org/)

Gestito dalla The MITRE Corporation e sponsorizzato dallo U.S. Department of Homeland Security (DHS) e dalla Cybersecurity and Infrastructure Security Agency (CISA) l’archivio delle CVE è nella sostanza il compagno fidato di chiunque si occupi di sicurezza nell’ambito informatico.

Stabiliti i necessari presupposti, che magari non erano necessari, arriviamo al senso di questo articolo che riporta i cinque miti da sfatare nell’ambito dei CVE, pubblicati in un recente articolo di TheNewStack da Madison Oliver, senior security analyst presso GitHub. Ed ecco l’elenco:

  • Un CVE è sempre un problema particolarmente serio: come abbiamo recentemente dimostrato anche noi, parlando della DoS provocato dalla canzone di Janet Jackson, un CVE non sempre presuppone pianto e stridore di denti (oddio, nel caso specifico di stridore di denti forse si poteva parlare).
  • Un CVE intacca la reputazione si un software e di chi lo produce: ed in questo caso si fa in fretta a capire come il più delle volte è il contrario. Vi fidereste più di uno che vi dice sempre “tutto bene” oppure di qualcuno che vi fa notare come ci sono dei problemi che poi vengono risolti?
  • Le vulnerabilità di bassa severità non meritano un CVE: che è falso, nella misura in cui è giusto che, a seconda del tipo di vulnerabilità sia chi produce il software a decidere quanto impatto questa abbia.
  • Un CVE rappresenta un trofeo per chi la scopre: non dovrebbe essere mai così, in quanto la ricerca di vulnerabilità dovrebbe far parte delle best practice in merito allo sviluppo ed al testing e non, appunto, un trofeo. Considerate poi che i CVE possono essere anche contestati se ritenuti sleali o scorretti.
  • Richiedere un CVE è difficile e richiede tempo: il che è confutato dai fatti, ottenere un CVE, a fronte della produzione della documentazione richiesta (di fatto un reproducer) è più semplice e veloce di quel che si può pensare, questione tipicamente di alcuni giorni.

Siete convinti di questi 5 miti sfatati? Parliamone!

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *