cURL und Go-Sicherheitsteams lehnen fehlerhaftes CVSS-Bewertungssystem ab
Die Sicherheitsteams von cURL und Go haben das Common Vulnerability Scoring System (CVSS) öffentlich als fehlerhaft für die Bewertung von Schwachstellen kritisiert und plädieren für genauere, kontextbezogene Ansätze. Der „Einheitsansatz“ von CVSS führt oft zu irreführenden Ergebnissen, insbesondere bei Projekten wie cURL mit Milliarden von Installationen. Daniel Stenberg, der Schöpfer von cURL, hob hervor, dass CVSS es versäumt, spezifische Kontexte zu berücksichtigen, was zu überhöhten oder ungenauen Bewertungen führt. Das Go-Sicherheitsteam schloss sich diesen Bedenken an und entschied sich für kontextbezogene Schweregradbewertungen. Dies unterstreicht die wachsende Unzufriedenheit mit CVSS und fördert die Suche nach besseren Alternativen. Dieser kontextbezogene Ansatz steht jedoch vor Herausforderungen, da die Maintainer Schwierigkeiten haben, alle Nutzungsszenarien genau einzuschätzen. Ein Kulturkonflikt zwischen Sicherheitsforschern und Open-Source-Maintainern verschärft das Problem, wobei Forscher nach Anerkennung streben und Maintainer sich auf die praktische Auswirkung konzentrieren. Das Problem des NVD-Backlogs verschlimmert die Situation.