GitコミットのCVSS修復レベル
Gitコミットのみが利用可能な場合、修復レベルとして何を選択しますか?
これの非常に一般的なシナリオは、Linuxカーネルの脆弱性です。修正が安定したブランチの一部になる前は、コミットとしてのみ利用可能です。
オプションは次のとおりです。
- 未定義(X)
- 利用不可(U)
- 回避策(W)
- 一時的な修正(T)
- 公式修正(O)
Linuxカーネルには意味があるかもしれないTemporaryFixをよく使用しますが、Gitリポジトリの使用はLinuxカーネルリポジトリの使用ほど一般的ではない「通常の」オープンソースプロジェクトについてはどうでしょうか。したがって、顧客はこのコミットをプルしません。
どう思いますか?公式ドキュメンタリーは現時点では明確ではありません。
修復レベルは脆弱性の特性です:それは修正されているかどうか?
各レベルを CVE-2016-3714 に変換して、具体的な例を見てみましょう。
- 利用不可:利用可能な修正または緩和策はありません。ほとんどのバグはこのレベルで始まります
- 回避策:開発者はまだ提案していませんが、アップロードされた画像のマジックナンバーを確認し、ホワイトリストに登録された形式のみを許可することでリスクを軽減できます
- 一時的な修正:開発者はパッチに取り組んでいますが、その間、policy.xmlファイルに このポリシー を追加することをお勧めします。
- 公式修正: 公式パッチ がリリースされました。インストールをアップグレードする必要があります。
したがって、質問は「パッチはどの時点でリリースされたと見なされますか?」になります。
これはプロジェクトごとに異なります。修正が「トランク」ブランチに到達したとき、更新が自動アップデーターに到達したとき、ディストリビューションが公式リポジトリに到達したときです。
これはプロジェクトで定義する必要があり、CVSSの範囲を超えています。
それをどのように定義すべきかわからない場合は、最初にユーザーがソフトウェアをどのように入手したかを考え、リリースされたものと同じチャネルを通じてリリースされたものを検討してください。