Table des matières:
Développer un système pour évaluer avec quel sérieux la communauté du développement logiciel devrait prendre les vulnérabilités est un défi, pour le dire à la légère. Le code est écrit par les humains et aura toujours des défauts. La question alors, si nous supposons que rien ne sera jamais parfait, est de savoir comment catégoriser au mieux les composants en fonction de leur risque d'une manière qui nous permette de continuer à travailler de manière productive?
Juste les faits
Bien qu'il existe de nombreuses approches différentes pour aborder ce problème, chacune avec sa propre justification valable, la méthode la plus courante semble être basée sur un modèle quantitatif.
D'une part, l'utilisation d'une approche quantitative pour juger de la gravité d'une vulnérabilité peut être utile en ce qu'elle est plus objective et mesurable, basée uniquement sur les facteurs liés à la vulnérabilité elle-même.