Fragen? Antworten! Siehe auch: Alternativlos
Anfang Oktober stellte Atlassian ein Sicherheitsupdate zur Verfügung. Nun schreibt Microsoft: Chinesische Hacker nutzten die Lücke mit CV-Score 10 bereits seit Mitte September aus.Ich finde das ja schon großartig, dass ausgerechnet Microsoft sich hier aus dem Fenster lehnt, die ja auch absolut traurige Reaktionszeiten auf Sicherheitslücken in ihren Produkten haben.
Mindestens genauso ironisch ist aber Atlassians Vulnerability Management Statement. Geht schon damit los, dass sie von Vulnerability Management reden. Techniker möchten Probleme lösen. Manager möchten Probleme managen. Hier kann man gut sehen, wer bei Atlassian das Sagen hat.
Und natürlich halten sie Sicherheitslücken für Schicksal.
Atlassian recognizes that, at some level, security vulnerabilities are an inherent part of any software development process.
Das ist wie Gewitter. Kann man nichts machen!1!!Die ganze Seite ist der Brüller. Das sind alles so "oh mein Gott wie stehen mit heruntergelassenen Hosen auf der grünen Wiese, wir sollten schnellstens irgendwas machen!!!" Ansätze. Wir lassen Tools laufen. Wir machen Asset Discovery. (Ich kann ja niemanden ernst nehmen, der Assets in seinem Produkt discovern muss). Wir machen Host Scans!! Wir machen Container Image Scans!!! Wir machen Open Source Dependency Scans!!!!
Das ist alles eine Bankrotterklärung sondergleichen. Software wird nicht durch Scanning sicher. Software wird durch gezielte Konstruktion mit Security als Ziel sicher.
Oh und sie haben ein Bug Bounty-Programm, natürlich. Sie haben gemerkt, dass alle ihre Maßnahmen sinnloses Theater sind, und haben keine Ideen, wie man was besser machen könnte, also crowdsourcen wir das Problem am besten!!
Ganz traurig.