Bạn nói đúng, CVE không mang tính chuẩn mực. Chúng chỉ xác định một lỗ hổng được cho là tồn tại. Chúng không tự động xác định xem một thứ gì đó _thực sự_ có phải là lỗ hổng hay không.
Đó chính xác là ý tôi muốn nói.
Khi cùng một người:
- Diễn giải lại một chính sách đã có từ lâu,
- mở rộng phạm vi của nó vượt ra ngoài định nghĩa ban đầu,
- Phân loại hành vi là một điểm yếu,
- Gán mã CVE,
- và vận chuyển các biện pháp giảm thiểu
…điều đó không biến sự bất đồng về chính sách thành một lỗ hổng bảo mật khách quan. Nó chỉ có nghĩa là một hệ thống triển khai đã chọn xử lý nó như vậy. Và knots đã sửa lỗi đó để bạn có thể bắt đầu và chạy nó.
Và về việc kích thước bộ nhớ đệm dường như đang thay đổi: sự phân biệt về mặt lịch sử là hoàn toàn quan trọng. Nó áp dụng cho một chính sách chuyển tiếp cụ thể OP_RETURN theo sau là PUSH. Việc mở rộng cách diễn giải một cách hồi tố rồi nói "thấy chưa, nó áp dụng rộng rãi hơn" là lập luận vòng vo.
Bạn không thể định nghĩa lại phạm vi rồi tuyên bố rằng định nghĩa lại đó chứng minh ý định ban đầu.
Nếu một nhà phát triển mở rộng ý nghĩa của một cờ (flag) và gọi bất cứ điều gì nằm ngoài ý nghĩa mở rộng đó là lỗ hổng bảo mật, điều đó không làm cho nó trở thành sự thật. Nó chỉ đơn giản là lựa chọn triển khai của họ.
Trong một hệ thống phân tán, mỗi cách triển khai đều có thể giảm thiểu rủi ro theo bất kỳ cách nào họ muốn.
Việc gọi một thứ gì đó là lỗ hổng bảo mật không đồng nghĩa với việc biến một tùy chọn chính sách thành một khiếm khuyết bảo mật phổ biến.
Các quy tắc Consensus mang tính chuẩn mực. ✅ Các quy tắc chính sách mang tính cục bộ. ✅ Nhãn CVE mang tính mô tả. ✅
Việc làm mờ ranh giới giữa hai điều này là một vấn đề ở đây.
