cURL 및 Go 보안팀, 결함 있는 CVSS 점수 시스템 거부
2025-01-27
cURL 및 Go 보안팀은 취약성 평가에서 공통 취약성 점수 시스템(CVSS)의 결함을 공개적으로 비판하며, 더욱 정확하고 맥락을 고려한 접근 방식을 요구하고 있습니다. CVSS의 일률적인 접근 방식은 수십억 건의 설치를 보유한 cURL과 같은 프로젝트에서 특히 오해의 소지를 불러일으키는 점수를 초래하는 경우가 많습니다. cURL의 개발자인 Daniel Stenberg는 CVSS가 특정 맥락을 고려하지 않기 때문에 점수가 과장되거나 부정확해질 수 있다고 지적했습니다. Go 보안팀도 유사한 의견을 표명하며 맥락 중심의 심각도 평가를 선택했습니다. 이는 CVSS에 대한 불만이 증가하고 있음을 보여주며, 더 나은 대안을 모색하는 움직임으로 이어지고 있습니다. 그러나 이러한 맥락 중심의 접근 방식은 유지 관리 담당자가 모든 사용 사례를 정확하게 평가하는 데 어려움을 겪기 때문에 과제에 직면하고 있습니다. 또한 보안 연구원과 오픈소스 유지 관리 담당자 간의 문화적 갈등으로 인해 문제가 더욱 복잡해지고 있습니다. 연구원들은 인정을 추구하고, 유지 관리 담당자들은 실제 영향에 집중하고 있습니다. NVD의 백로그 문제 또한 상황을 악화시키고 있습니다.