Názory k článku
Google spustil projekt Open Source Vulnerabilities

Vzdycky mi prislo dost komplikovane zjistit, jakou verzi s jakymi commity vlastne pouzivam... tim, ze se cast distribuci snazi byt co nejstabilnejsi az na uroven setinkovych verzi, tak pak vznikaji ruzne slepence patchu, zjistit, ktere oficialni verzi to odpovida, neni vzdycky uplne jednoduche...

je pak nutné projít release notes pro každý balíček a podívat se, která CVE (či jiné issues) byly opraveny patchováním. Errata u CentOS/Redhat je pro strojové zpracování úplně super.

S tímhle máme také dost problémy u enterprise (či staromódních) klientů, dává hodně práce to vůbec zjistit, pak někdo spustí OWASP, ten nahlásí konkrétní verze s critical issue, ale už neřeší, že obsahuje patch, kdy to distribuce opravila. Pak člověk má ještě problém s procesy a prokázáním, že OWASP se plete a ubohý admin má pravdu.