[devel] Нарушения Vulnerability Policy

[Anton Farygin]

On 07.02.2023 14:16, Paul Wolneykien wrote:
> В Tue, 7 Feb 2023 14:07:19 +0300
> Anton Farygin<rider на basealt.ru>  пишет:
>
>> On 07.02.2023 13:53, Paul Wolneykien wrote:
>>> В Tue, 7 Feb 2023 12:01:57 +0300
>>> Anton Farygin<rider на basealt.ru>  пишет:
>>>   
>>>> On 07.02.2023 11:51, Stanislav Levin wrote:
>>>>> 07.02.2023 11:40, Anton Farygin пишет:
>>>>>      
>>>>>> И формат и обязанность, судя по тексту политики.
>>>>>>      
>>>>> Что из этого предлагается заинфорсить?
>>>> Заэнфорсить получится только формат.
>>>     А почему? У нас ведь, вроде бы, есть база данных уязвимостей.
>> вроде бы.
>    Тогда, значит, если выходит версия про которую известно, что в
> апстриме была закрыта уязвимость, а в чейнджлоге это не отражено, то
> можно показать игроку жёлтую карточку. Или красную. Или какие там ещё
> бывают...

У меня бывает обратная ситуация - когда CVE в changelog указываю (указан 
апстримом), а вот в базе CVE его нет по неизвестным мне причинам и 
появляется в базах с задержкой на пару недель.

Плюс бывают ложные сработки, плюс не все CVE на нас распространяются.