AL
Таблицу соответствия можно сделать, это не выглядит черезмерно сложной проблемой. Непонятна ценность этого графика. На какой вопрос он должен помочь ответить?
Predictive Prioritization для бедных :-)
Size: a a a
2019 May 30
K
Сказать, что есть позитивная корреляция между хайповостью и приоритетом патча - большая натяжка имхо.
K
Predictive Prioritization для бедных :-)
Эта метрика лучше, чем cvss base score?
AL
А мапинг на прозвища всякие это уже ручная работа, аналитика на фултайм сажать надо, дорого :-)
AL
Эта метрика лучше, чем cvss base score?
Ога
AL
Если нормально сделана
K
Это твоё ощущение или есть статистически значимый эксперимент?
AL
Почитай в @avleonovcom я там две недели про это писал всякое на эту тему.
K
Почитай в @avleonovcom я там две недели про это писал всякое на эту тему.
Я просмотрел. Проблемы CVSS понятны. Но статистически значимого эксперимента нет. Я не могу сейчас придумать объективную пост-фактум метрику критичности уязвимости, в то бы можно было на исторических данных провести эксперимент. Скажем, нуль-гипотеза могла бы быть «фактор хайпа является лучшим предиктором критичности уязвимости, чем CVSS Base». Интересное было бы исследование.
K
Можно эмпирическое исследование провести на каких-то известных уязвимостях, но оно перекошено будет.
AL
Хайп один из факторов. Но вообще это не наука конечно нефига. И CVSS тоже не наука. И все плохо :-)
K
:)
GE
А дейсвтвительно кто какой мерой пользуется для оценки критичности уязвимости в инфраструктуре или каждый случай индивидуальный подход требует?
P
А какая разница? Уязвимости надо править не зависимо от критичности
S
А какая разница? Уязвимости надо править не зависимо от критичности
"ну у нас же тестовый стенд, исправим через пару спринтов"... Ага, надо
S
А дейсвтвительно кто какой мерой пользуется для оценки критичности уязвимости в инфраструктуре или каждый случай индивидуальный подход требует?
я думаю везде индивидуально, в зависимости от того, какую сферу рассматриваешь
K
А дейсвтвительно кто какой мерой пользуется для оценки критичности уязвимости в инфраструктуре или каждый случай индивидуальный подход требует?
IMHO, если пользоваться CVSS, это будет лучше, чем у 80% организаций. :)
K
А какая разница? Уязвимости надо править не зависимо от критичности
Это вы больших систем не видели, наверное.
P
Как раз видел, и как раз с другой стороны ))
P
По ту сторону Нетката )))