EOLを迎えた古い「Node.js」へのCVE付番、MITREに却下されてしまう/開発チームが新方針発表、EOL版は便宜上「今後の新たな脆弱性全てが該当する」原則に
ARANK
ライフサイクルを終えた(EOL)古い「Node.js」バージョンに付番したCVE番号は、MITREによって却下されてしまったとのこと。「Node.js」の開発チームが3月7日、公式ブログで明らかにした。
2 comments
Node.jsコアチームがEOLになったバージョンに対してもCVEを発行しようとしたがMITREにそれは適切な運用じゃないと拒否された話。元々はいろんなツールがCVEを見てリスクありとかを出してくれるので出そうとしたけど、登録できなかったというだけ。
htn.to/3p3SZDvCU2
なんかこう、、、記事が変な言い方がされてる気がするんだけど、EOLになったバージョンでCVEを発行しようとするのはバージョンアップを促したいだけであり、いろんな脆弱性スキャンツールがEOLになっただけでCVEが発行されていない場合に警告してくれないのが問題という話なだけなんだよな。 x.com/yosuke_furukaw…