Todos,
La primera pregunta aquí, así que sé lo más amable que puedas :-)
He estado buscando por todos los escritos o documentos sobre un estándar para clasificar vulnerabilidades. No desde el punto de vista de gravedad / riesgo / impacto, sino categorizando, como agrupar todos los 'parches faltantes', 'gestión de autenticación débil', reglas de egreso / ingreso para redes y similares. Ahora sé que muchas personas ya han hecho este trabajo, incluyéndome a mí. Lo que me interesa saber es si alguien ha hecho algo en una base más formal / estándar?
Pregunta larga, todas las respuestas son bienvenidas.