¿Qué selecciona como nivel de remediación si solo está disponible una confirmación Git?
Un escenario muy común para esto son las vulnerabilidades en el kernel de Linux, antes de que una solución se convierta en parte de la rama estable, solo está disponible como confirmación.
Las opciones son:
- No definido (X)
- No disponible (U)
- Solución (W)
- Arreglo temporal (T)
- Solución oficial (O)
A menudo optamos por Temporary Fix, que podría tener sentido para el kernel de Linux, pero ¿qué pasa con los proyectos Open Source "normales", donde el uso del repositorio Git no es tan común como usar el repositorio del kernel de Linux? Por lo tanto, los clientes no harán este compromiso.
¿Qué piensas? El documental oficial no está claro en este punto.