Но стоит немного вчитаться, и выходит, что виной всему только старый OpenSSH/OpenSSL, а выдача сканера формируется по принципу "детектим текущую версию сервиса, смотрим какие CVE закрыли в каждом новом билде, выдаем всё скопом и радуемся".
3 листа мелкого текста можно заменить на одну красную строчку: "старый сервис, обновись".
Конечно, эта беда не только МП, а почти каждого инструмента безопасности. К каждой тулзе нужна прокладка в виде опытного аналитика, способного выделить строчку сути из 3 листов мусора и виной этому, главным образом, вендорский подход: сканер уязвимости должен находить много "красненького", иначе как доказать заказчику, что он эффективно работает?
МР - это просто сканер, а не средство управления уязвимостями. Не надо от него ждать большего.
ОтветитьУдалитьПозицируется МП именно как средство управления уязвимостями, к слову.
Удалить