Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Dienstag, 19 März 2024 | Blog: 3 | No: 51616
Ein Leser erzählt mir gerade von einer Schlangenölgrube der besonderen Art. Und zwar gibt es doch gerade eine apokalyptische Lücke in Spring Security. Als gammelige Entwicklerklitsche von Welt kümmert man sich ja nicht mehr selbst um sowas, sondern man abonniert Schlangenöl-Dienste, die dann "Code Scanning" machen.
Stellt sich raus: Die finden die Lücke gerade nicht, obwohl sie bei der Firma des Lesers siebenstellige Summen pro Jahr für die "Dienst""leistung" aufrufen.
Warum nicht? Weil NVD die Arbeit eingestellt hat. Das ist eine Vulnerability-Datenbank einer US-Bundesbehörde.
Ja! Richtig gehört! Ein Dienst, der nur diesem einen Kunden ne Million pro Jahr in Rechnung stellt, sammelt nicht etwa selber seine Sicherheitslücken zusammen, sondern scraped bloß die NVD-Datenbank der US-Regierung für lau. Und wenn die dann mal nicht geupdated wird, dann haben die auch keinen Plan B, wie sich das für unseriöse Schlangenölverkäufer gehört.
Ich erwähne den Namen des Schlangenölverkäufers nicht, weil das natürlich ein systemisches, branchenweites Problem ist.
Niemand sollte solchen Anbietern auch nur einen müden Pfennig zahlen für ihre Compliance-Bullshit-Scanning-Schlangenölscheiße.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Dienstag, 19 März 2024 | Blog: 3 | No: 51616
Warum nicht?
eine apokalyptische Lücke in Spring Security
Stellt sich raus: Die finden die Lücke gerade nicht, obwohl sie bei der Firma des Lesers siebenstellige Summen pro Jahr für die "Dienst""leistung" aufrufen.
Warum nicht? Weil NVD die Arbeit eingestellt hat. Das ist eine Vulnerability-Datenbank einer US-Bundesbehörde.
Ja! Richtig gehört! Ein Dienst, der nur diesem einen Kunden ne Million pro Jahr in Rechnung stellt, sammelt nicht etwa selber seine Sicherheitslücken zusammen, sondern scraped bloß die NVD-Datenbank der US-Regierung für lau. Und wenn die dann mal nicht geupdated wird, dann haben die auch keinen Plan B, wie sich das für unseriöse Schlangenölverkäufer gehört.
Ich erwähne den Namen des Schlangenölverkäufers nicht, weil das natürlich ein systemisches, branchenweites Problem ist.
Niemand sollte solchen Anbietern auch nur einen müden Pfennig zahlen für ihre Compliance-Bullshit-Scanning-Schlangenölscheiße.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
