cURL-Entwickler Daniel Stenberg stört, dass seine CVE-Einträge eigenmächtig von der CISA mit CVSS-Scores versehen werden. Er hat plausible Argumente.
Daniel Stenberg, Erfinder und Hauptentwickler des Open Source-Kommandozeilentools cURL, hat in einem Blogeintrag einmal mehr das CVE -Ökosystem kritisiert. Im Fokus seiner aktuellen Kritik: das mit CVE eng verknüpfte Schwachstellenbewertungssystem CVSS .Nach Stenbergs Meinung birgt der Prozess des CVSS -Scorings schon per se ein hohes Risiko für Fehleinschätzungen.
höchstens dann für die akkurate Einstufung, wenn man ganz genau wisse, wann und wie das betreffende Hard- oder Softwareprodukt verwendet werde und wie ein Exploit es beeinflusse. Für ein Projekt wie cURL, das milliardenfach in völlig unterschiedlichen Anwendungsszenarien und Umgebungen zum Einsatz komme, funktioniere das schlicht nicht.
Das Problem ist, dass die CISA diesen ganz bewussten Verzicht offenbar nicht respektiert. Denn die Behörde betrachtet es als ihre Aufgabe, aus ihrer Sicht "unvollständige" Einträge in der CVE-Datenbank stets zu vervollständigen. In ihrer Rolle als Authorized Data Publisher darf sie das ohne Rücksprache mit den CNAs innerhalb fest definierter Daten-Container tun – und tut es auch mit den cURL-CVEs.
Für Stenberg ist dieser Vorgang ein Indiz für die Zufälligkeit und Willkürlichkeit der berechneten Punktzahlen. Und für die Überforderung von ADPs, die die Bewertungen quasi im Akkord und ohne tieferen Einblick in die technischen Details im CVSS-Rechner "zusammenklicken". Eine Lösung für das Problem sieht der Entwickler derzeit nicht: Da das cURL-Team "den CVSS-Tanz nicht mittanze", werde es weiterhin nicht von solcherlei Fehleinschätzungen verschont bleiben.Die Reaktionen auf Stenbergs Post reichen von Zustimmung bis hin zu verhaltener Kritik. So bestätigte ein Mitglied des IT-Sicherheitsteams der Sprache Go, dass man auch dort negative Erfahrungen mit CISAs "Enrichment" gemacht habe.
CVE CVSS Common Vulnerability Scoring System Curl Security Sicherheitslücken Vulnrichment
Deutschland Neuesten Nachrichten, Deutschland Schlagzeilen
Similar News:Sie können auch ähnliche Nachrichten wie diese lesen, die wir aus anderen Nachrichtenquellen gesammelt haben.
Helldivers 2-Entwickler zu Politik in Spielen: 'Wenn sie nichts zur Erfahrung beiträgt, stört sie'Der Chefentwickler von Helldivers 2 äußerte sich zur Integration von Politik in Videospielen und sagte, dass solche Elemente nur dann stören, wenn sie nichts zur Spielerfahrung beitragen. In einem kurzen Gespräch mit den Fans reagierte er auf die Wünsche eines Benutzers, dass das Entwicklerstudio niemals 'DEI' in ihren Spielen integrieren sollte. DEI steht für Diversity, Equity and Inclusion und bezeichnet eine Philosophie, bei der Gerechtigkeit und Teilhabe für alle im Vordergrund stehen.
Weiterlesen »
Cheat-Entwickler spricht über seine Arbeit mit Call of DutyEin deutscher Cheat-Entwickler gibt Einblicke in seine Arbeit und erklärt, wie einfach es ist, Cheats für Call of Duty zu entwickeln.
Weiterlesen »
Ehemaliger Entwickler von Bethesda kommentiert große Schwäche von Starfield: „Es hätte ohne sie existieren können”In einem Interview berichtet Ex-Bethesda-Entwickler Nate Purkeypile, dass ein großes Manko in Starfield nicht hätte sein müssen.
Weiterlesen »
Ehemaliger Rockstar-Entwickler: GTA 6 wird das beste Spiel aller ZeitenEin ehemaliger Entwickler von Rockstar Games, der an verschiedenen GTA-Titeln mitgewirkt hat, glaubt, dass GTA 6 das beste Spiel aller Zeiten werden könnte.
Weiterlesen »
Ex-Rockstar-Entwickler: GTA 6 wird das beste Spiel aller ZeitenEin ehemaliger Entwickler von Rockstar Games, bekannt für seine Arbeit an der GTA-Reihe, erwartet von GTA 6 Welterfolg.
Weiterlesen »
NVIDIA kündigt 'Project Digits' an: KI-Rechner für Millionen EntwicklerNVIDIA präsentiert auf der CES in Las Vegas ein neues KI-System namens 'Project Digits' für Entwickler, Datenwissenschaftler und Studenten. Das Gerät soll ab Mai für 3.000 Dollar erhältlich sein und mit einem neuen NVIDIA-Chip namens GB10 ausgestattet sein.
Weiterlesen »