CVE迷信

CVE迷信是指IT行业中对CVE（通用漏洞披露）编号的过度关注甚至病态的迷恋。企业的安全合规部门往往拿着漏洞扫描器，死板地寻找系统中未修复的特定CVE编号，一旦扫描报告飘红便如临大敌。

问题

在每天都有成百上千个Bug被自动化工具挖掘出来的今天，这种基于"打地鼠"模式的CVE追踪已经变得极其低效且毫无意义。Willy Tarreau预言，人们最终将不得不接受一个朴素的真理：安全Bug本质上也就是普通的软件Bug。

新范式

在漏洞泛滥的时代，试图对每一个漏洞进行详尽的风险定级、分配CVE并进行定点修复是徒劳的。唯一保持系统安全的理智且有效的方法是：建立并严格执行周期性的、无缝的自动化系统更新机制，而不是只盯着某几个特定的"CVE-xxx"进行选择性的修补。