https://www.darkreading.com/vulnerabilities-threats/when-patching-security-flaws-smarter-trumps-faster
Common Vulnerability Scoring System(CVSS)を使用してソフトウェアセキュリティの脆弱性のパッチを優先する組織は、問題をランダムに修正する場合と比較して、潜在的な悪用可能性を減らしますが、それほどではありません。
CVSSによる問題のトリアージは、悪用可能性をランダム戦略の2〜6倍削減しますが、企業が欠陥を修正できる速度に応じて、悪用コードの存在によって優先順位を付けると、悪用可能性が22〜29分の1に減少します。
レポートによると、欠陥をより迅速に修正することで、悪用の可能性を減らすことができますが、「修復能力」の高い企業が必ずしも適切な問題を修正しているとは限りません。
「全国的な脆弱性データベースのすべてのCVE [脆弱性]について考えると、企業や企業が実行していないソフトウェアに適用されるものがたくさんあります。たとえば、消費者ベースです」と彼は言います。
実際、レポートによると、Twitterの言及の数を使用すると、CVSSベースの戦略とパッチを適用するのが最も簡単な戦略の両方が改善されます。
特定の環境で最も観察される脆弱性に焦点を当てることは、次善の戦略です。
セキュリティの欠陥にパッチを当てるとき、よりスマートな切り札がより速く、Robert Lemos、寄稿者
security summary
コメント