ฉันกำลังสแกนบางระบบที่ใช้ 18.04 LTS โดยใช้ OpenSCAP และ ไฟล์ Ubuntu OVAL. การสแกนบอกฉันว่าระบบมีช่องโหว่เช่น USN-5123-1 เมื่อเรายังไม่ได้ติดตั้งแพ็คเกจเซิร์ฟเวอร์ mysql ที่อ้างอิงใน USN บนไซต์ของ Ubuntuเมื่อดูที่ OVAL XML ดูเหมือนว่าเป็นเพราะการทดสอบสำหรับ USN นั้นค้นหาแพ็คเกจอื่นๆ รวมถึง libmysqlclient20 ที่เรามี (ดู oval:com.ubuntu.bionic:var:512310000000 ใน XML)
มีเหตุผลที่ชัดเจนสำหรับความไม่ลงรอยกันระหว่างเว็บไซต์และ OVAL ที่นี่หรือไม่?
เราพยายามตัดแต่งแพ็คเกจไบนารีที่แสดงรายการใน USN ของเราให้เหลือแค่แพ็คเกจที่เราคิดว่าเกี่ยวข้องกับการแก้ไขที่เป็นปัญหา เพื่อหลีกเลี่ยงไม่ให้อีเมลเป็นรายการยาวๆ ที่ไร้สาระของแพ็คเกจหลายสิบหรือหลายร้อยแพ็คเกจ (แพ็คเกจ -dev หรือ -doc แทบจะไม่ได้รับผลกระทบจากปัญหาด้านความปลอดภัยเลย)
เราได้เลือกที่จะแสดงรายการไบนารีแพ็กเกจทั้งหมดที่สร้างจากแพ็กเกจซอร์สเดียวที่ได้รับผลกระทบในฟีดข้อมูล OVAL ของเรา แม้ว่าสิ่งนี้อาจทำให้เข้าใจผิดจากมุมมองของซอร์สแพ็กเกจที่ให้บริการทั้งไคลเอ็นต์และเซิร์ฟเวอร์ แต่ก็เป็นทางเลือกที่อนุรักษ์นิยมและยังสะท้อนถึงวิธีการอัปเกรดแพ็กเกจที่คาดว่าจะเกิดขึ้น
(ในกรณีเฉพาะของ MySQL ก็เป็นความคิดที่ดีเช่นกัน: Oracle ไม่เผยแพร่ข้อมูลเกี่ยวกับปัญหาด้านความปลอดภัยมากนักเราไม่ควรพยายามเดาว่าแพ็คเกจไบนารีใดมีการแก้ไข CVE ใดจาก Oracle เป็นการดีที่สุดที่จะอัปเกรดทั้งหมดเมื่อมีการเผยแพร่ แทนที่จะพยายามทำความเข้าใจว่าการแก้ไขเฉพาะใดอยู่ในแพ็คเกจใด)
รายการแพ็คเกจ USN ถูกตัดออกเล็กน้อยเพื่อให้สามารถอ่านได้ OVAL แสดงรายการทุกอย่างโดยเจตนา ทั้งสองวิธีมีปัญหา แต่เราคิดว่า OVAL ควรผิดพลาดในด้านของความปลอดภัย และ USN ควรผิดพลาดในด้านของความชัดเจน
ขอบคุณ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
