dopo aver letto questo Quali modelli di valutazione del rischio sono utilizzati per calcolare i punteggi di rischio delle vulnerabilità Web?
questa è una domanda alquanto diversa, non sui sistemi di punteggio in generale, ma sul loro particolare uso negli attuali scanner automatici.
a volte riceviamo vari rapporti di vulnerabilità da diverse fonti, condotti da software diversi, che possono essere configurati in modo errato per le applicazioni sottoposte a scansione.
mi interessa sapere se ci sono sistemi di punteggio come CVSS usati da quegli scanner, e questi punteggi possono cambiare se si riconfigura lo scanner per tenere conto di vari fattori come l'intranet o l'uso di Internet, se si configura scanner per rappresentare uno standard rispetto all'altro.
In questo modo posso concentrare i miei sforzi sulla comprensione dei meccanismi utilizzati, ho anche sentito parlare di CWSS (che afferma che fornisce maggiori informazioni sulle vulnerabilità sconosciute) e su CMSS.