Tony Cox y Jeff Lowder han proporcionado algunos comentarios excelentes sobre CVSS (De hecho, SIRA incluye mucha buena discusión). Su objetivo es un poco más amplio que el tuyo, pero creo que el artículo al que se hace referencia proporciona un índice para los comentarios sobre CVSS. La publicación de @ Metahuman señala que CVSS puede complementarse.
El sistema de iPost del Departamento de Estado encontró que el puntaje de CVSS sobre el valor estimado de los riesgos sin importancia; Si recuerdo correctamente, simplemente se agruparon los valores para enfatizar las cosas serias. IPost del estado es el modelo (aunque sea un modelo defectuoso según el Inspector General del Departamento de Estado) para el DHS CAESARS , pero ambos son más arquitectónicos que tu objetivo.
CVSS es un estándar defectuoso. Sé que hay esfuerzos activos para revisarlo / reformarlo. Hay una considerable subjetividad en las clasificaciones: no puedo encontrar la referencia en este momento, pero alguien realizó una prueba en la que le dio a varios expertos la misma información sobre una vulnerabilidad y utilizaron el proceso CVSS, pero tuvieron respuestas muy diferentes. Pero es un estándar. Es un excelente lugar para comenzar un proyecto como el suyo, donde está buscando un estándar de referencia sin el esfuerzo de crear su propia metodología. Puedes usar CVSS (y CWE) como puntos de partida, y luego hacer lo que @Colin Cassidy llama "matemáticas mágicas".
CVSS está centrado en el sistema; ignora las características de seguridad de la arquitectura, y probablemente subestima las vulnerabilidades donde la web / nube es el vector de entrega. Me gustaría ver OWASP y Veris para obtener más información estadística sobre explotaciones del mundo real en lugar de sobre modelos teóricos.
Probablemente no ignoraría las métricas ambientales; de hecho, en el mediano plazo, usaría los componentes de CVSS para comenzar a obtener su propia puntuación de vulnerabilidad que se ajuste más a sus necesidades.