Služba je trochu podobná žebříčku Microsoftu (Exploitability index), v němž se hodnotí nejen „abstraktní“ závažnost chyby, ale i odhadovaná pravděpodobnost, že se brzy objeví/rozšíří i exploit. V jejím rámci by se však měly závažnosti jednotlivých rizik porovnávat i „napříč“ produkty různých společností. Proč vůbec takovou službu nabízet? Podle nCircle například Adobe neposkytuje uživatelům žádný návod, jaká z aktualizací má jakou prioritu (kromě označení závažnosti zranitelnosti, to ale není totéž).
Nový index má být založen na několika faktorech: jak dlouhá je doba mezi zjištěním chyby a vydáním opravy (pravděpodobnost, že útočníci stihnou vyvinout funkční exploit), nakolik lákavý je pro útočníky exploit vyvíjet/co takový útočný kód umožňuje. Na rozdíl od klasických systémů bodování závažnosti chyb (nejvyšší stupeň critical nebo arbitrary code execution) má být nový systém záměrně shora neomezený a hrozba obodována číslem, což by mělo vždy poskytnout jednoznačnou informaci o tom, kde hrozí největší riziko.
Zkušební verze služby je k dispozici na webu nCircle. Postupně sem mají být přidávány žebříčky i vzhledem k opravám dalších firem.
PŘEDPLATNÉ
ČLÁNKY DO MAILU