hiro0kach1
@hiro0kach1
Vuls祭り参加中。EPSSが10%以上のものが実際に30日以内に悪用される確率は65%、というデータは初めて知ったけど、悪くないなという印象。ただ30日はちょっと長すぎる印象なんだよな #vulsjp
2024-02-16 19:54:17
hiro0kach1
@hiro0kach1
CVSS v4の話も興味深かった。まだちゃんと理解するには程遠いけど聞いた限り、脆弱性の理解がしやすくなりそう #vulsjp
2024-02-16 19:55:37
hiro0kach1
@hiro0kach1
そして、v4とv3.1を実際の脆弱性で比較した結果、スコア影響が少ない。スコアで機械的に判断するのではなく、脆弱性に対する解像度を上げて適切な判断を促すためのアップデートと考えたほうがいいのかな #vulsjp
2024-02-16 19:58:51
chocopurin
@cluclu_land
StrutsのCVE-2014-0114。(あかん意味で)めっちゃお世話になった記憶あるけど、10年も経ってたんか・・・ #vulsjp
2024-02-16 20:12:44
キタジー
@kitaji0306
CVE-2014-0114:Struts1のEOL後に発覚した脆弱性だった。 非公開脆弱性の大きな組織での取り扱いは非常に大変なことが良く分かった。 #vulsjp
2024-02-16 20:20:33
きりたぬ (Kiri)
@skiritan
さらっと流してたけど「大規模組織(数万人~)でルールを決めていく」も相当大変で、いろいろ知見がありそう・・(ゴクリ #vulsjp
2024-02-16 21:02:41
キタジー
@kitaji0306
トリアージを一般的な指標(CVSS等)だけでやり切るのは難しい、システムの関連性などを踏まえて判断出来ると良いな→人かAIの出番かな #vulsjp
2024-02-16 21:09:30