فرق أمان cURL وGo ترفض نظام تسجيل نقاط CVSS المعيب
أعلنت فرق أمان cURL وGo علنًا عن رفضها لنظام تسجيل نقاط الضعف الشائع (CVSS) باعتباره نظامًا معيبًا لتقييم الثغرات الأمنية، ودعت إلى اتباع نهج أكثر دقة واعتمادًا على السياق. غالبًا ما يؤدي النهج الموحد لـ CVSS إلى نتائج مضللة، خاصةً بالنسبة للمشاريع مثل cURL التي تضم مليارات التثبيتات. سلط دانيال ستينبرغ، مبتكر cURL، الضوء على فشل CVSS في مراعاة السياقات المحددة، مما أدى إلى نتائج مبالغ فيها أو غير دقيقة. وأعرب فريق أمان Go عن آراء مماثلة، واختار تقييمات شدة تعتمد على السياق بدلاً من ذلك. هذا يبرز ازدياد عدم الرضا عن CVSS ويدفع نحو البحث عن بدائل أفضل. ومع ذلك، يواجه هذا النهج المعتمد على السياق تحديات، حيث يكافح القائمون على الصيانة لتقييم جميع سيناريوهات الاستخدام بدقة. ويُعقّد الصراع الثقافي بين الباحثين في مجال الأمن وقائمي الصيانة مفتوحة المصدر المشكلة أكثر، حيث يسعى الباحثون إلى الحصول على التقدير، بينما يركز القائمون على الصيانة على التأثير العملي. تُفاقم مشكلة تراكم الأعمال المتأخرة في NVD الوضع.