Sommario
Il repository GitHub del progetto “node-ip” è stato archiviato dal suo sviluppatore Fedor Indutny a causa di un CVE segnalato contro il suo progetto. La vulnerabilità, identificata come CVE-2023-42282, ha generato un dibattito significativo, portando Indutny a rendere il repository in sola lettura per limitare la possibilità di aprire nuove issue, pull request e commenti.
Dettagli del CVE
CVE-2023-42282 riguarda l’incapacità dell’utilità di identificare correttamente gli indirizzi IP privati forniti in un formato non standard, come l’esadecimale. Questo problema può far sì che l’utilità “node-ip” tratti un indirizzo IP privato in formato esadecimale come pubblico. Di conseguenza, applicazioni che si affidano a “node-ip” per verificare se un indirizzo IP è pubblico possono restituire risultati incoerenti.
Sebbene Indutny abbia già corretto il problema nelle versioni successive del progetto, egli ha contestato che il bug costituisse una vera vulnerabilità con un impatto di sicurezza elevato. La CVE è stata originariamente valutata come critica, ma Indutny ha richiesto che la gravità fosse abbassata, sostenendo che l’impatto di sicurezza del bug fosse discutibile.
Reazione della Comunità
Indutny ha espresso le sue preoccupazioni sui social media, spiegando che la CVE segnalata aveva portato a un’ondata di messaggi da parte di utenti che ricevevano avvisi da “npm audit”. La situazione ha evidenziato un problema crescente nella comunità open source, dove i rapporti CVE non verificati possono causare panico ingiustificato tra gli utenti e costituire una fonte di frustrazione per gli sviluppatori.
GitHub ha successivamente ridotto la gravità della CVE nel loro database e ha suggerito a Indutny di attivare il reporting privato delle vulnerabilità per gestire meglio i rapporti in arrivo e ridurre il rumore sorto con node-ip.
Problemi Crescenti con i CVE
La segnalazione di CVE è progettata per aiutare i ricercatori di sicurezza a segnalare eticamente le vulnerabilità in un progetto e catalogarle dopo una divulgazione responsabile. Tuttavia, recentemente, un numero crescente di membri della comunità sta presentando rapporti non verificati, spesso per arricchire i propri curriculum piuttosto che per segnalare veri e propri problemi di sicurezza.
Questo fenomeno ha portato alcuni sviluppatori, come Daniel Stenberg del progetto “curl”, a criticare fortemente queste segnalazioni, definendole “bogus” e distrazioni dai problemi di sicurezza reali. La crescente tendenza di segnalazioni CVE non verificate rappresenta una sfida significativa per la comunità open source, richiedendo un equilibrio tra la segnalazione etica delle vulnerabilità e la protezione degli sviluppatori da rapporti infondati.
Fino a quando la comunità di ricerca sulla sicurezza, gli sviluppatori e i vendor non troveranno una soluzione efficace, gli sviluppatori continueranno a essere frustrati da rapporti infondati che li esauriscono, e il sistema CVE rischia di essere inondato da “vulnerabilità” esagerate che sembrano credibili sulla carta ma sono praticamente irrilevanti.
