Политика Libxml2 «никаких эмбарго безопасности» ( lwn.net )
Было бы здорово, если бы некоторые из этих инициатив безопасности с открытым исходным кодом могли бы повысить качество отчетов. Я видел так много отчетов о совершенно недостижимом коде и получал cve за то, что он вызывал сбой. Сопровождающие будут утверждать, что пользовательский ввод фильтруется в другом месте, а «уязвимость» не настоящая, но mitre это не волнует.
> Я видел так много отчетов о совершенно недостижимом коде и получал CVE за то, что он вызывал сбой.
Было много случаев, когда что-то, когда-то считавшееся «недостижимым», в конечном итоге становилось достижимым, иногда спустя годы, после рефакторинга, и теперь возникала проблема.
Очень грустно читать. Большая часть многомиллиардного проекта, над которым я работаю, построена на основе libxml2, а моя компания не имеет об этом ни малейшего понятия. Черт, даже большинство моих коллег, работающих с XML каждый день, даже не знают об этом, потому что они взаимодействуют с ним только косвенно через lxml.
> Черт, даже большинство моих коллег, работающих с XML каждый день, даже не знают об этом, потому что они взаимодействуют с ним только косвенно через lxml.
Соответствующий XKCD: https://xkcd.com/2347/.
Source: news.ycombinator.com