Найти тему
3520 подписчиков

#news Занимательная история с node-ip последних дней вновь подняла проблему ложных репортов CVE. Разработчик библиотеки, Фёдор Индутный, перевёл в ридонли репозиторий с проектом. Это произошло после того как последний столкнулся с проблемами по следам отчёта о CVE, серьёзность которой Индутный безуспешно пытался оспорить несколько месяцев.


После публикации число скачиваний node-ip сократилось с 30 до 17 миллионов в неделю, а из-за ложной CVE при сборке проектов шло предупреждение, о чём начали массово сообщать пользователи. В итоге проект улетел в архив, тем самым засветился в новостях, и от GitHub наконец удалось добиться снижения рейтинга. Доступ к репозиторию теперь восстановлен, появились желающие помочь отозвать CVE. Но проблема злоумышленников, начинающих исследователей, набирающих уязвимости в портфолио сомнительными методами, и лага во взаимодействии между участниками индустрии осталась. И, скорее всего, будет только расти, продолжая выматывать нервы разработчикам.

@tomhunter
#news Занимательная история с node-ip последних дней вновь подняла проблему ложных репортов CVE. Разработчик библиотеки, Фёдор Индутный, перевёл в ридонли репозиторий с проектом.
Около минуты