Bug的内容就是Mac上的必剪无法完成B站视频上传新手任务。
这个从B站客服那里确认了。
没多大事儿,这是个设备相关的bug,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将部分评分提高到L,也就是假设这是个CVE的话,聊一下安全问题。
带大家过一下CVSS4.0打分体系中关于供应链设备的部分。
| 项目 | 评分 | 解释 |
|---|---|---|
| 可利用性指标 | ||
| 攻击方式 | N(网络) | 上传一个视频,内容过审即可 |
| 攻击复杂性 | L(低) | 不需要专业知识 |
| 攻击要求 | N(无) | 不需要攻击者攻击特定部署和执行条件 |
| 所需权限 | L(低) | 一般用户即可 |
| 用户交互 | A(活动) | 需要用户上传视频 |
| 影响指标 | ||
| 保密性 | N | 不存在保密性损失 |
| 后续保密性 | N | 不存在后续系统级别影响 |
| 完整性 | N | 没有完整性损失 |
| 后续完整性 | N | 没有后续完整性损失 |
| 可用性 | L(低) | 没有直接严重后果,但是功能失效,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将这部分提高到L |
| 后续可用性 | L(低) | 没有直接严重后果,但是功能失效,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将这部分提高到L |
| 威胁指标 | ||
| 在本文中披露了这个bug作为bug披露 | A | 本文是已知问题 |
| 环境相关指标(这个给B站自己填去,我们不知道服务器运作方式) | ||
| 设备类型指标 | ||
| 安全 | N | 在IEC 61508范围内没有安全影响 |
| 自动化 | X | 不清楚其API安全组成 |
| 供应商紧急程度 | 最低 | 给出的反馈方式为信息性 |
| 回收率 | X | |
| 值密度 | X | |
| 脆弱性相应工作 | L | 其实在网页上加个公告,或者写个job数据库刷一下都行,但实际上并不做。 |
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L/E:A/S:N/RE:L/U:Clear
评分 4.8
重申,我们也可以认为这样的小bug对用户是无害的,此时
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N/E:A/S:N/RE:L/U:Clear
评分 0
欢迎大家就这个例子讨论对于CVSS 4.0的理解和认识。