cURLとGoセキュリティチームがCVSSスコアシステムを拒否
2025-01-27
cURLとGoのセキュリティチームは、脆弱性の評価における共通脆弱性識別システム(CVSS)の欠陥を公に批判し、より正確でコンテキストを重視したアプローチを求めています。CVSSの一律アプローチは、特に数十億のインストールを持つcURLのようなプロジェクトにおいて、誤解を招くスコアを生み出すことがよくあります。cURLの作成者であるDaniel Stenbergは、CVSSが特定のコンテキストを考慮していないため、スコアが過大評価または不正確になることを指摘しました。Goセキュリティチームも同様の意見を表明し、コンテキスト主導の深刻度評価を選択しました。これは、CVSSに対する不満の高まりを示しており、より優れた代替策を求める動きにつながっています。しかし、このコンテキスト主導のアプローチは、保守担当者がすべての使用事例を正確に評価することに苦労するため、課題に直面します。さらに、セキュリティ研究者とオープンソース保守担当者間の文化的な対立により、問題は複雑化しています。研究者は認知を求め、保守担当者は実際の影響に焦点を当てています。NVDのバックログ問題も状況を悪化させています。