Mais je suis sûr que tout·tes les lecteurices de LinuxFr ont un avis sur comment faire mieux :-)
Ce n'est pas que je veux te contredire mais je n'ai pas d'avis sur comment faire mieux. Pour éviter que tu ne sois pas trop déçu, j'ai réfléchi à des idées pour faire autrement ou pas:
Le plus simple serait quand même de ne plus faire des programmes avec des vulnérabilités.
On donne un score compris entre 0 et 10 (du moins au plus important) sur base de l'avis de trois expert·e·s tiré·e·s au sort parmi les expert·e·s qui sont intervenu·e·s dans des discussions sur la vulnérabilité dans les 24h suivant la révélation de la vulnérabilité. En cas de désaccord entre les expert·e·s après une heure de discussion, ils jouent à chifoumi ou à pierre-papier-ciseau et cellui qui gagne décide.
On prend dix personnes au hasard, on les "nomme" de 1 à 10, on les fait participer à un tournoi de chifoumi (ou au jeu de l'évolution) et la note de la vulnérabilité correspond au "nom" de la personne qui gagne.
On attribue la note CVSS sur base du thème astrale de la vulnérabilité en fonction de l'astrologie maya (égyptienne/mésopotamienne/héraldique/kinesthésique/apathique/pic&pic/etcollegram/...)
On arrête de parler de cette question qui n'intéresse personne et on parle des vrais problèmes tel que l'abaya ou le pipigate
On demande l'avis d'une IA ivre (j'adore l'image même si elle a le défaut d'être anthropomorphique)
On base le score sur le pourcentage de parlementaires présent·e·s à l'assemblé·e lors de la découverte de la vulnérabilité (pour peu qu'une séance parlementaire était prévue, sinon le score est fixé à zéro)
On forme un comité ISO (ou Théodule) pour déterminer un indicateur composite avec 43 sous-indicateurs regroupés en 7 familles et demi. En attendant l'output de ce groupe, on se démerde.
On met aux enchères chaque vulnérabilité l'on déduit le score de son prix selon la formule score = [log(prix) - 1 * tg(prix/Pi) + cos(Pi) exp(prix)] * [cos2(prix)+sin2(prix)-1]+1
Le score est égale à 10 - degré d'alcool de la dernière boisson bue par la personne qui a découvert la vulnérabilité.
# En fait, non. Je n'ai pas d'avis sur comment faire mieux
Posté par tisaac (Mastodon) . En réponse au journal En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ?. Évalué à 10.
Ce n'est pas que je veux te contredire mais je n'ai pas d'avis sur comment faire mieux. Pour éviter que tu ne sois pas trop déçu, j'ai réfléchi à des idées pour faire autrement ou pas:
score = [log(prix) - 1 * tg(prix/Pi) + cos(Pi) exp(prix)] * [cos2(prix)+sin2(prix)-1]+110 - degré d'alcool de la dernière boisson bue par la personne qui a découvert la vulnérabilité.En espérant avoir fait avancer le Schmilblik.
Surtout, ne pas tout prendre au sérieux !