Common Vulnerability Scoring System: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. |
Recupero di 1 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.9.5 |
||
Riga 22:
Diversi fornitori e organizzazioni hanno espresso insoddisfazione per CVSSv2.
La società Risk Based Security, che gestisce il database delle vulnerabilità [[open source]], e la Open Security Foundation hanno pubblicato congiuntamente una lettera pubblica a FIRST in merito alle carenze e ai fallimenti di CVSSv2.<ref name="rbs_failures_cvssv2">{{Cita web|url=http://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf|titolo=The CVSSv2 Shortcomings, Faults, and Failures Formulation|accesso=18 dicembre 2021|dataarchivio=11 marzo 2022|urlarchivio=https://web.archive.org/web/20220311015907/https://www.riskbasedsecurity.com/reports/CVSS-ShortcomingsFaultsandFailures.pdf|urlmorto=sì}}</ref> Gli autori hanno citato una mancanza di granularità in diverse metriche che si traduce in vettori e punteggi CVSS che non distinguono correttamente le vulnerabilità di diverso tipo e profili di rischio. È stato anche notato che il sistema di punteggio CVSS richiede una conoscenza eccessiva dell'esatto impatto della vulnerabilità.
Oracle ha introdotto il nuovo valore della metrica "Partial+" per Riservatezza, Integrità e Disponibilità, per colmare le lacune percepite nella descrizione tra Parziale e Completo nelle specifiche ufficiali CVSS.<ref name="oracle_partialplus">{{Cita web|url=https://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html|titolo=Use of Common Vulnerability Scoring System (CVSS) by Oracle}}</ref>
| |||