Lo standard CVSS ha una componente "temporale" che modella il cambiamento del rischio associato a una vulnerabilità nel tempo, come la pubblicazione di un exploit di lavoro. Ma NVD del NIST non fornisce quel tipo di informazioni temporali.
Conosci qualche luogo o servizio (gratuito oa pagamento) che fornisce dati temporali per CVSS?
Ero abituato a contratto per iDefense e successivamente per iSIGHT Partners, in entrambi i casi abbiamo utilizzato il punteggio CVSSv2 completo, inclusi i dati temporali e i rapporti sono stati aggiornati man mano che il codice exploit veniva pubblicato / ecc. (in effetti questa era una delle principali priorità per noi). iDefense è stato acquisito da Verisign, posso solo supporre che facciano ancora questo tipo di lavoro (sono passati più di 4 anni da quando ero lì) e iSIGHT lo sta ancora facendo (salvo qualche cambiamento importante nei loro prodotti / ecc.). link e link . Presumo che gli altri servizi di vulnerabilità come Secunia e così via facciano lo stesso, ma non ho mai usato i loro prodotti o contratto per loro quindi non posso dire. So che tenere traccia di tutti quei dati correttamente è molto lavoro, quindi la maggior parte delle persone non lo fa =).
Leggi altre domande sui tag cvss