Het Common Vulnerability Scoring System heeft opgeroepen voor een gemeenschappelijke beoordeling van security lekken. De nieuwe aanpak moet de huidige methodes van aanbieders en ontwikkelaars, die nu gebruikt worden voor het bepalen van de gevolgen van een lek, vervangen.
"We willen orde in de chaos brengen. Het uiteindelijke doel is een systeem dat de gebruiker helpt om adequaat te reageren op een lek" zegt Mike Caudill, voorzitter van het "Forum of Incident Response and Security Teams".
Het CVSS gaat verder dan security waarschuwingen zoals "kritiek" en "belangrijk" zoals die in de security bulletins van Microsoft worden gevonden. Het nieuwe score systeem, dat getallen tussen de 1 en 10 gebruikt, stelt een organisatie in staat om het specifieke risico van een bepaald lek binnen de omgeving van het bedrijf te bepalen. Hierdoor kan men de juiste priorteit aan patching en andere oplossingen geven.
Symantec en Cisco hebben al aangegeven om het CVSS te gaan gebruiken, maar Microsoft houdt vast aan haar eigen systeem voor het beoordelen van lekken.
"We erkennen dat sommige aanbieders en security organisaties binnen de industrie voor praktische redenen verschillende waarschuwingssystemen gebruiken. Onze klanten hebben ons verteld dat de waarschuwingen die wij sinds 2002 gebruiken hen helpen bij beoordelen van de risico's en het gebruiken van de oplossingen die wij beschikbaar stellen voor het beveiligen van hun systemen" aldus een woordvoerder van de softwaregigant.
Experts denken niet dat het nieuwe systeem helpt bij het eerder patchen van systemen, maar het zou gebruikers wel helpen om druk op aanbieders en ontwikkelaars uit te oefenen om ook op het CVSS over te stappen.
Update: Titel aangepast
Deze posting is gelocked. Reageren is niet meer mogelijk.