CVE
7 статей с этим тегом
Как по-настоящему закрывать CVE в зависимостях: сканировать, исправлять, изолировать и продолжать следить
Работа с уязвимостями не закончена, когда вы «исправили». Готово = 1) скан, 2) фикс, 3) изоляция/передача, 4) мониторинг. Пока не налажен мониторинг (ежедневное обнаружение изменений), это незавершённо — зависимости снова станут уязвимыми завтра. Идеальное исправление, которое перезаписывает следующий деплой, стоит ноль. Малые команды остаются в безопасности за счёт двух дисциплин: автоматического обнаружения изменений и «локально→push→деплой».
Установка и использование osv-scanner: найти CVE в ваших зависимостях
osv-scanner сканирует lock-файлы и контейнеры, выявляя CVE в ваших зависимостях, бесплатно. Здесь разобраны установка, запуск и интеграция в CI, плюс когда применять его vs npm/pnpm audit vs Dependabot. Взгляд этого сайта: правильный инструмент определяется ВАШЕЙ конфигурацией — берите osv-scanner для проектов с несколькими экосистемами или без GitHub, и встроенный pnpm audit для одного npm-дерева.
Что такое CVE — общий «игровой номер» для уязвимостей
CVE — это глобально общий идентификатор уязвимости (например, CVE-2025-12345). CVE = имя, CVSS = серьёзность, KEV = эксплуатируется ли она. Это якорь для мониторинга. Отслеживайте машинами, а не вручную.
Что такое RCE (Remote Code Execution) — почему это худший класс багов
RCE позволяет атакующему выполнить произвольный код на вашем сервере — прямой путь к захвату, худший класс. Радиус поражения задаётся привилегиями работающего процесса. Главные средства защиты — быстрые патчи, мониторинг CVE и минимум привилегий.
Утечка Equifax (2017) — как неустановленное исправление Apache Struts привело к утечке данных 147M человек
Причиной стал известный, уже исправленный CVE (CVSS 10.0), оставленный без установки в публичной системе. Истёкший сертификат мониторинга скрывал эксфильтрацию 76 дней. В вашей среде: инвентаризация активов, SLA на патчинг, машинный мониторинг и работоспособное обнаружение.
Log4Shell (CVE-2021-44228) — ночь, когда мир боялся бага, наличие которого не мог даже подтвердить
Баг CVSS 10.0 в Log4j. Настоящий страх — транзитивная зависимость: быть затронутым через библиотеку, об использовании которой вы не знали. Пассивный путь логирования стал вектором атаки. SBOM, машинный мониторинг, быстрый патчинг и отслеживание последующих CVE — вот уроки.
Безопасный запуск Next.js: не отставать от опубликованных CVE
Главный риск фреймворка — заброшенные опубликованные CVE. Защищайтесь четырьмя столпами: судите по работающей версии, мониторьте Dependabot/osv-scanner, быстро обновляйтесь и работайте с минимумом привилегий. Взгляд этого сайта: инди-разработчики проигрывают не на знаниях, а на операционной непрерывности — побеждайте системой, которая не пропускает, а не скоростью.