Почему «CVSS выше 8» — не всегда срочно Все знают, что рейтинг CVSS (Common Vulnerability Scoring System) нужен, чтобы оценивать критичность уязвимостей. Но вот беда — половина людей делает это неправильно. От простых и бесполезных правил вроде «всё с CVSS выше 8 — срочно закрываем» до полного игнора бизнес-контекста. Итог печальный: силы потрачены, половина дыр закрыта, а вторая половина — как назло — именно те, которыми реально пользуются злоумышленники. Копнем глубже. CVSS в актуальных версиях 3.1 и 4.0 — это не только цифра в отчёте, а целая система параметров. Разные источники могут давать разные оценки одной и той же уязвимости. Почему? Из-за различий в данных, контексте эксплуатации и даже в том, какие метрики учитываются. Отсюда и золотое правило: смотрите не только на баллы, но и на реальный риск. Откуда берутся разные оценки и как не угробить приоритизацию: — проверяйте, откуда пришла оценка CVSS и по каким данным она выставлена; — учитывайте бизнес-контекст — одно дело баг на тестовом сервере, другое — на боевом; — используйте риск-ориентированный подход, а не только «сухие» числа. CVSS — это не приговор и не кнопка «чинить всё». Это инструмент, который помогает понять, что закрывать в первую очередь, если применять его с головой. Читайте, сохраняйте и делитесь с коллегами из ИТ — пусть приоритизация будет в порядке