cURL和Go安全团队抛弃CVSS评分系统
2025-01-27
cURL和Go安全团队公开批评了通用漏洞评分系统(CVSS),认为其在评估漏洞方面存在缺陷,并呼吁采用更准确、更注重情境的评估方法。CVSS的“一刀切”方法常常导致误导性结果,尤其对于像cURL这样拥有数十亿安装量的项目而言。cURL的创建者Daniel Stenberg指出,CVSS未能考虑漏洞的具体环境,导致评分过高或不准确。Go安全团队也表达了类似的观点,选择情境驱动的严重性评估而非CVSS评分。这一事件凸显了业界对CVSS的日益不满,并推动了对更有效替代方案的探索。然而,这种情境化方法也面临挑战,因为项目维护者难以准确把握所有用户的使用场景。此外,安全研究人员和开源维护者之间也存在文化冲突,前者追求公开认可,后者则更关注实际影响。NVD(国家漏洞数据库)的积压问题也加剧了这一困境。