Door Anoniem: Voor zover mij bekend komt deze info uit de OWASP Risk Rate Methodology. Een risico beoordeling waarmee op basis van de gevonden kwetsbaarheden de waarschijnlijkheid en impact (= risico) kan worden bepaald. Wel eens gezien binnen een project en geeft naar mijn idee op een eenvoudige manier een redelijk goed beeld van het risico. Voor wat betreft je vraag over praktische toepassing. Hoe ik het zie vindt je bij je pentest een aantal kwetsbaarheden en wil je deze sorteren op volgorde van het hoogste risico. Per gevonden kwetsbaarheid beantwoord je de vragen waardoor er een risico score wordt gevormd. Ik was zelf niet bekend met CVSS (bedankt daarvoor trouwens), maar van wat ik er over lees hebben beide inderdaad hetzelfde doel: Risico in kaart brengen zodat de prioriteit kan worden bepaald. OWASP en NIST stellen beide dat een risico beoordeling uiteindelijk gebruikt moet worden voor het bepalen van de prioriteit. Daarvoor zou je beide methodes dus kunnen gebruiken. OWASP: “As a general ...