gpt4 book ai didi

security - 为什么我们必须修复测试范围依赖项的安全漏洞?

转载 作者:行者123 更新时间:2023-12-01 23:07:24 26 4
gpt4 key购买 nike

为什么我们必须修复仅在测试范围内使用的库的安全漏洞?

我一直试图在网上找到答案,但运气不好,所以想到这里问。

例如: https://nvd.nist.gov/vuln/detail/CVE-2021-23463我发现了这个漏洞,但 H2 被包含为 <scope>test</scope>在 Maven 中。

测试代码不会被传送到生产环境,所以我想知道为什么我们必须修复这些漏洞,如果它只在测试范围内容易受到攻击。

提前致谢!

最佳答案

TL;DR - 确定不修复漏洞(在您的测试中)是否安全可能比仅修复漏洞需要更多工作。


Why do we have to fix security vulnerabilities on the libraries that we use only in testing scope?

我能想到您可能必须修复漏洞的几个原因:

  1. 因为您的管理层或安全团队告诉您您必须这样做。他们可能会出于遵守某些内部政策或某些外部合规规则的原因告诉您这些……甚至出于法律原因。或者也许是因为有人对此有“看法”。他们可能无法区分生产代码和测试代码。

  2. 因为您无法最终证明测试范围内的漏洞不构成风险。

    例如,该漏洞是否会被有权访问您的 CI 基础设施的不良行为者利用?你能证明那是不可能的吗?或者这不会提供对重要的东西造成重大损害的方法?


反过来是:

  • 如果 管理层没有说您必须修复它们并且您可以最终证明该漏洞在您的测试基础架构中不是风险那么 你可以决定不修复它们。
  • 但是如果您的评估不正确,那么责任和后果将落在您身上。

简而言之……您需要决定是否应该冒险忽略该漏洞。

关于security - 为什么我们必须修复测试范围依赖项的安全漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70586997/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com