Hlavní navigace

Názor ke zprávičce Závažná zranitelnost linuxového jádra a RTLWIFI od Miroslav Šilhavý - závažnost snažíme hodnotit jedním číslem, ale s dopady...

  • 20. 10. 2019 10:23

    Miroslav Šilhavý

    závažnost snažíme hodnotit jedním číslem, ale s dopady si často nejsme jisti. Pak jsou možnosti:

    Ve skutečnosti je nutno dopad vyhodnocovat pro konkrétní situaci. Na to žádná statistika nezabere, ani automatické vyhodnocení. Někdo sudo nemá nainstalované, někdo ano. A z těch, co ano, ho jen někdo využívá.

    Pokud bych měl dělat srovnání bezpečnosti na obecném principu, stanovil bych si nejprve kvantil, ve kterém považuji nástroj za "běžně používaný". Ku příkladu tedy nástroje, které nalezneme na 80 % všech instalací. Teprve v rámci této skupiny bych porovnával bezpečnost. Případně se dá ta statistika odstupňovat 90-80-70-50 apod. a srovnat počet kritických chyb.

    Toto dá do ruky významné číslo, které zajímá toho, kdo se rozhoduje o výběru platformy. Při rozhodování Vás nezajímá ani tak to, jestli daný systém LZE zabezpečit, ale jestli zabezpečený přichází.

    Asi daleko větší oříšek by bylo z praxe získat statistiku bezpečnosti po půl roce, roce a dvou provozu. Každý systém je trochu jinak aktualizovaný, každý výrobce má k aktualizacím a automatizaci instalace jiný přístup.