Equipes de segurança do cURL e Go rejeitam o sistema de pontuação CVSS com falhas
As equipes de segurança do cURL e Go denunciaram publicamente o Sistema Comum de Pontuação de Vulnerabilidades (CVSS) como falho na avaliação de vulnerabilidades, defendendo abordagens mais precisas e contextuais. A abordagem única do CVSS muitas vezes leva a pontuações enganosas, especialmente para projetos como o cURL, com bilhões de instalações. Daniel Stenberg, criador do cURL, destacou a falha do CVSS em levar em conta contextos específicos, resultando em pontuações infladas ou imprecisas. A equipe de segurança do Go fez coro com esses sentimentos, optando por avaliações de gravidade orientadas por contexto. Isso destaca a crescente insatisfação com o CVSS e impulsiona a busca por alternativas melhores. No entanto, essa abordagem orientada por contexto enfrenta desafios, pois os mantenedores lutam para avaliar com precisão todos os cenários de uso. Um choque de cultura entre pesquisadores de segurança e mantenedores de código aberto complica ainda mais o problema, com pesquisadores buscando reconhecimento e mantenedores focando no impacto prático. O problema de backlog do NVD exacerba a situação.