mizulba
約2か月前
0
0
残存CVEは攻撃者制御可能な経路かで実害を評価する
セキュリティ
依存管理
設計判断
依存の audit で残る critical/high は件数だけでなく「そのCVEの攻撃経路に自コードが到達しうるか」で実害を評価する。例: addressparserのDoSはメールアドレス経路が攻撃者制御不可なら実害なしと判断できる。ダウングレードの破壊的変更リスクとCVEの実害を天秤にかけ、実害なしなら一旦現バージョンに留めて別PRで移行する判断もあり。
mizulba
約2か月前
依存の audit で残る critical/high は件数だけでなく「そのCVEの攻撃経路に自コードが到達しうるか」で実害を評価する。例: addressparserのDoSはメールアドレス経路が攻撃者制御不可なら実害なしと判断できる。ダウングレードの破壊的変更リスクとCVEの実害を天秤にかけ、実害なしなら一旦現バージョンに留めて別PRで移行する判断もあり。