Git提交的CVSS补救级别

Question

如果只有Git提交可用，您选择什么作为补救级别？

这方面的一个非常常见的场景是Linux内核中的漏洞，在补丁成为稳定分支的一部分之前，它只能作为提交来使用。

备选方案有：

• 未定义(X)
• 不可用(U)
• 变通办法(W)
• 临时修正(T)
• 官方固定件(O)

我们经常使用临时修复，这对于Linux内核来说可能是有意义的，但是对于“正常”的开源项目来说，使用Git并不像使用Linux内核回购那样常见。因此，客户不会撤回这一承诺。

你认为如何？官方纪录片目前还不清楚。

Answer 1

补救级别是漏洞的属性:它是固定的还是未修复的？

让我们将每个级别转换为CVE-2016-3714，以查看一个具体示例：

• 不可用:没有任何修复或缓解可用。大多数bug都是从这个级别开始的。
• 解决办法:开发人员尚未投入，但您可以通过检查上传图像的神奇数量和只允许白名单格式来降低风险。
• 临时修复:开发人员正在开发修补程序，同时建议将这一政策添加到policy.xml文件中。
• 官方修正：官方补丁已经发布，你应该升级你的安装。

因此，问题就变成了“在什么时候一个补丁被认为已经发布了？”

对于每个项目来说，这是不同的:对一些人来说，这是当补丁击中他们的“主干”分支时，对于另一些项目来说，是在更新击中自动更新程序时，对于发行版是在它到达官方存储库的时候。

它必须由项目定义，并且超出了CVSS的范围。

如果您不知道应该如何定义它，那么首先考虑一下您的用户是如何获得您的软件的，并考虑通过与发布相同的渠道发布的任何内容。