Het plan voor het zogeheten Common vulnerability scoring system (cvss) is deze week gepresenteerd op de RSA Conference, een jaarlijkse bijeenkomst over informatiebeveiliging, in San Francisco. Het nieuwe systeem hanteert standaardformules om de ernst van een lek te bepalen. Van belang hiervoor is onder meer of er een patch of exploit beschikbaar is voor het lek en hoe lang het lek al bekend is. Als het cvss in gebruik wordt genomen, wordt het voor it-beheerders en softwarefabrikanten makkelijker om de ernst van bepaalde risico's voor netwerken in te schatten, zo is het idee. Het cvss is in zekere zin vergelijkbaar met de Common vulnerabilities and exposures database (cve) die Mitre hanteert. Critici zijn echter bang dat bedrijven naast zo'n standaardmethode gewoon hun eigen aanduiding voor de ernst van softwarelekken blijven gebruiken.