despues de leer esto Qué modelos de clasificación de riesgo ¿Se utilizan para calcular puntuaciones de riesgo de vulnerabilidades web?
esta es una pregunta algo diferente, no sobre sistemas de puntuación en general, sino por su uso particular en los escáneres automatizados actuales.
a veces recibimos varios informes de vulnerabilidad de diferentes fuentes, realizados por software diferente, que pueden estar mal configurados para las aplicaciones que se están escaneando.
Estoy interesado en saber si hay un sistema de puntuación líder como CVSS utilizado por esos escáneres, y ¿pueden cambiar esas puntuaciones si vuelve a configurar ese escáner para tener en cuenta diversos factores como el uso de Internet frente a la intranet? Escáner para tener en cuenta un estándar frente a otro.
De esta manera puedo centrar mis esfuerzos en comprender los mecanismos utilizados, también he oído hablar de CWSS (que afirma que proporciona más información sobre vulnerabilidades desconocidas), así como CMSS.