CVSS时态数据

Question

CVSS标准有一个“时态”组件，用于建模与漏洞相关的不断变化的风险，例如发布工作漏洞。但NIST的NVD并没有提供这种时间信息。

您知道为CVSS提供时态数据的任何位置或服务(免费或付费)吗？

Answer 1

我曾经为iDefense签订合同，后来又为iSIGHT Partners签订合同，在这两个地方，我们都使用了完整的CVSSv2评分，包括时态数据和随着漏洞代码的出现而更新的报告(事实上，这是我们的主要优先事项之一)。iDefense是由Verisign收购的，我只能假设他们还在做这样的工作(我在那里已经像4+多年了)，iSIGHT肯定还在这么做(除非他们的产品有一些重大的变化/等等)。http://www.idefense.com/和http://www.isightpartners.com/.我认为其他主要的漏洞服务，如Secunia等也会这样做，但我从未使用过他们的产品，也从未为他们签订过合同，所以我不能这么说。我确实知道，正确地跟踪所有这些数据是一项很大的工作，所以大多数人都不这样做。