Sommario:
Sviluppare un sistema per valutare quanto seriamente la comunità di sviluppo software dovrebbe prendere le vulnerabilità è una sfida, per dirla alla leggera. Il codice è scritto dagli umani e avrà sempre dei difetti. La domanda quindi, se assumiamo che nulla sarà mai perfetto, è come possiamo meglio classificare i componenti in base al loro rischio in un modo che ci permetta di continuare a lavorare in modo produttivo?
Solo i fatti
Mentre ci sono molti approcci diversi che si potrebbero adottare per affrontare questo problema, ognuno con la propria valida giustificazione, il metodo più comune sembra essere basato su un modello quantitativo.
Da un lato, l'utilizzo di un approccio quantitativo per giudicare la gravità di una vulnerabilità può essere utile in quanto è più obiettivo e misurabile, basato esclusivamente sui fattori correlati alla vulnerabilità stessa.
