Los equipos de seguridad de cURL y Go rechazan el sistema de puntuación CVSS defectuoso
Los equipos de seguridad de cURL y Go han denunciado públicamente el Sistema Común de Puntuación de Vulnerabilidades (CVSS) como defectuoso para evaluar vulnerabilidades, abogando por enfoques más precisos y contextuales. El enfoque único para todos del CVSS a menudo lleva a puntuaciones engañosas, especialmente para proyectos como cURL, con miles de millones de instalaciones. Daniel Stenberg, creador de cURL, destacó el fracaso del CVSS para tener en cuenta los contextos específicos, lo que resulta en puntuaciones infladas o inexactas. El equipo de seguridad de Go se hizo eco de estos sentimientos, optando por evaluaciones de gravedad impulsadas por el contexto. Esto destaca la creciente insatisfacción con el CVSS e impulsa la búsqueda de alternativas mejores. Sin embargo, este enfoque impulsado por el contexto enfrenta desafíos, ya que los mantenedores luchan por evaluar con precisión todos los escenarios de uso. Un choque cultural entre investigadores de seguridad y mantenedores de código abierto complica aún más el problema, con investigadores buscando reconocimiento y mantenedores enfocándose en el impacto práctico. El problema de retraso del NVD exacerba la situación.