Odpověď na názor

No, takze priznavate, ze pricinou neni system CVSS, ale zpusob jakym se projevuje lidska lenost

Je-li ten systém navržen tak, že patologickému chování jedinců nejen nebrání, ale ve skutečnosti ho vlastně aktivně podporuje, je navržen špatně. Založit takový systém na presumpci viny byla chyba, ale nikdo, kdo je na tom systému zainteresován, to řešit nechce, protože je to pro ně z různých důvodů výhodné. Vadí to jen obětem, ale ty do toho jednak nemají co mluvit, jednak když se ozvou, jedinci jako vy (bez představy, jak to v praxi funguje a k čemu to vede) je ukřičí.

Ona je hezká teorie, že stačí prohlásit, že číslo je vycucané z prstu, protože to reportoval ignorant, který tam vyplnil nesmysly. Ale jak ukazuje (zdaleka nejen) tento příklad, v praxi to nefunguje, protože pak riskujete, že se bude všude možně psát "projekt X nepoužívejte, jsou tam neopravené superzávažné bezpečnostní chyby" a veřejnost bude slepě věřit Autoritám, ne vám, i kdyby každému, kdo tomu aspoň trochu rozumí a podívá se, bylo naprosto zjevné, že máte pravdu.

Ano, část problému je i v tom, že nezasvěcená veřejnost (které je drtivá většina) si opravdu myslí, že když to má CVE id a nějaké skóre, tak nějaká Autorita garantuje, že to opravdu je bezpečnostní chyba a má udávanou závažnost. To je prostě lidská přirozenost, že v oblastech, kterým sami nerozumějí, spoléhají na garance uznávanými autoritami. A nenalhávejme si, prosím, že v tomto případě Autoritě nevyhovuje ten stav, kdy jí veřejnost slepě důvěřuje coby takovému garantovi, aniž by musela hnout prstem pro to, aby ta důvěra byla aspoň trochu oprávněná.