En una investigación, mi objetivo es priorizar la aplicación de parches de vulnerabilidad para aplicaciones web. Dado que las vulnerabilidades de las aplicaciones web no tienen puntajes de gravedad asignados, como hecho para las vulnerabilidades (se asigna CVE a CVE), pensé en usar OWASP arriba 10 2017 como una medida de palo de yarda. Más específicamente, quiero emplear una escala de 1-10 para las vulnerabilidades, de modo que las vulnerabilidades con CWE(s) dentro de A1 se asignen a 10 y a A6 se asignen a 5 . ¿Será esto justo / razonable o hay mejores formas de hacer algo como esto?
Actualización : Simplemente tropecé con CWSS y me di cuenta de que está diseñado para Puntuar aplicaciones web utilizando la categorización CWE . Por ejemplo
Los mejores 25 errores de software más peligrosos de CWE / SANS de 2011 se calificaron usando puntajes de prevalencia .
¿Alguien sabe si hay algo similar disponible para los 10 principales de 2017?