Brocards for Vulnerability Triage
6 days ago
- #open-source
- #security-principles
- #vulnerability-triage
- 缺少威胁模型或威胁模型不连贯的漏洞报告可予以驳回。
- 如果攻击者所需能力超过或等于漏洞可能造成的危害,相关报告可被驳回。
- 若报告描述的行为理论上可能发生但实际软件使用中并不存在,该报告可予驳回。
- 当行为源于正确遵循标准或规范而非实现缺陷时,相关报告可予驳回。
- 维护者应驳回修复成本高于漏洞本身危害的报告。
- 漏洞报告或CVE的存在不意味着实际漏洞必然存在。
- 在漏洞分类中常见无意义的提交,如垃圾信息、'求赏金'请求及低质量LLM生成报告。
- 布鲁卡德原则可作为快速评估报告有效性的简明准则,但它们并非普遍适用的绝对法则。