Gebruikers moeten ernst kwetsbaarheden bepalen’

  • Bron (c) 2005, VirusAlert

Het Amerikaanse Department of Homeland Security heeft een open standaard laten ontwikkelen waarmee gebruikers kunnen meebeslissen over de ernst van softwarefouten. Het zogenoemde CVSS of Common Vulnerability Scoring System moet wereldwijde aanpak van lekke programma’s mogelijk maken. Het Forum of Incident Response and Security Teams, kortweg FIRST, heeft van het ministerie de opdracht gekregen om verdere ontwikkeling te coördineren. Dit internationale consortium – waar bijvoorbeeld de Incident Response Teams van Sun en Microsoft, maar ook die van ABN Amro en Ernst & Young deel van uitmaken – zal het systeem op maandag presenteren.

Gebruikers van het systeem kunnen bugs een cijfer tussen de 1 en de 10 geven. Daarnaast worden factoren als de verspreiding van malware en de beschikbaarheid van patches meegewogen. De belangrijkste doelen zijn het eenvoudiger stellen van prioriteiten en het voorkómen van dubbel werk, meent de FIRST. Bovendien stelt het systeem ‘risk assessment managers’ in staat om vergelijkingen tussen verschillende softwareleveranciers te maken.

Diverse bedrijven, zoals Symantec, ISS en Qualys, hebben aangegeven de CVSS-ratings te gaan gebruiken. Cisco biedt zelfs al CVSS-waarderingen op haar site aan. Microsoft, volgens een Gartner-analist ‘de grootste leverancier van kwetsbaarheden op de desktop’, ziet echter weinig heil in de nieuwe standaard. ‘Onze gebruikers hebben duidelijk gemaakt dat het waarderingssysteem dat we sinds 2002 hanteren, goed functioneert’, aldus Microsoft-beveiligingsexpert Kevin Kean. Hij gaf echter wel aan dat wanneer klanten om CVSS vragen, MS overstag zal gaan.