Az elavult DREAD kockázati modell ( wikipédia) a felfedezhetőséget sorolja fel a sérülékenység súlyosságának megítélésénél. Az az elképzelés, hogy valamit, amelyet nem ismerünk nyilvánosan, és amelyet valószínűleg nem fedez fel a kérdéses alkalmazás mély ismerete nélkül, nincs szüksége akkora pánikra, mint például valami közzétett CVE-vel (feltéve, hogy nincsenek közzétett támadási prototípusok, mivel ez a Kihasználhatósági mutatóba ereszt).
Úgy veszem észre, hogy a CVSS v3.0 nem rendelkezik arra vonatkozó mutatóval, hogy mekkora valószínűséggel fedezhető fel a sebezhetőség.
A Wikipedia ezt mondja:
Felfedezhetőségi vita
Egyes biztonsági szakértők úgy érzik, hogy a „Felfedezhetőség” elem utolsó D-ként való szereplése a biztonságot díjazza a homály miatt, ezért egyes szervezetek vagy átköltöztek egy DREAD-D "DREAD mínusz D" skálára (amely kihagyja a Felfedezhetőséget), vagy mindig azt feltételezik, hogy a Felfedezhetőség a maximális besoroláson van.
Tehát a kérdésem alapvetően: a nagyon nyilvánvaló "rossz a homály által okozott biztonság" mellett, mik az érvek a Discoverabi használata mellett és ellen kockázatelemzés részeként?