Inhaltsverzeichnis:
Die Entwicklung eines Systems, mit dem bewertet werden kann, wie ernst die Softwareentwicklergemeinschaft Sicherheitslücken nehmen soll, ist eine Herausforderung, um es auf den Punkt zu bringen. Code wird von Menschen geschrieben und weist immer Fehler auf. Die Frage ist dann, ob wir, wenn wir davon ausgehen, dass nichts jemals perfekt sein wird, wie wir die Komponenten am besten nach ihrem Risiko kategorisieren, damit wir weiterhin produktiv arbeiten können.
Nur die Fakten
Zwar gibt es viele verschiedene Ansätze, die zur Lösung dieses Problems herangezogen werden könnten, wobei jeder eine gültige Begründung hat, doch scheint die gängigste Methode auf einem quantitativen Modell zu beruhen.
Einerseits kann ein quantitativer Ansatz zur Beurteilung des Schweregrads einer Sicherheitsanfälligkeit nützlich sein, da er objektiver und messbarer ist und ausschließlich auf den mit der Sicherheitsanfälligkeit selbst verbundenen Faktoren beruht.