In una ricerca, mirano a dare priorità alle patch di vulnerabilità per le applicazioni web. Dal momento che le vulnerabilità delle applicazioni Web non hanno punteggi di gravità assegnati come fatti per le vulnerabilità (CVE vengono assegnati CVSS) ho pensato di utilizzare OWASP top 10 2017 come metro di misura. Più in particolare, voglio utilizzare una scala da 1 a 10 per le vulnerabilità, in modo che le vulnerabilità con CWE(s) in A1 siano assegnate a 10 e a A6 a 5 assegnate. Sarà giusto / ragionevole o ci sono modi migliori per fare qualcosa del genere?
Aggiornamento : ci siamo imbattuti in CWSS e ci siamo resi conto che è progettato per valutazione delle applicazioni Web utilizzando la categorizzazione CWE . Per esempio
2011 CWE / SANS I 25 errori software più pericolosi sono stati valutati utilizzando punteggi di prevalenza .
Qualcuno sa se qualcosa di simile è disponibile per la top 10 del 2017?