主要观点：CVSS 是评估计算系统漏洞严重程度的技术标准，通常使用在线计算器得出 0 到 10 的分数，有不同版本。每个 MITRE 的 CVE 应设定 CVSS 分数，NVD 曾负责，现在 CISA 接手。CVSS 评分系统存在问题，对于通用代码基不太适用，很多人对其提出质疑。同时，安全扫描器依赖 CVSS 分数，导致一些问题，如误报等。curl 项目放弃使用 CVSS 评分，自行划分安全严重程度等级，且作为 CNA 自己发布 CVE 条目。CISA 作为 ADP 负责补充 CVE 条目，常因缺乏 CVSS 而给 curl CVE 打分，且打分过程随意，引发争议。

关键信息：

• CVSS 定义及在线使用方式。
• CVE 与 CVSS 的关系及相关负责机构变更。
• curl 放弃 CVSS 及自行划分严重等级的原因。
• CISA 补充 CVE 条目及对 curl CVE 的打分情况及争议。
• 相关更新及各方反应，如作者的 pull-request 及后续处理等。

重要细节：

• CVSS 输入因素有限，倾向给网络产品较高分数，不考虑特殊情况。
• 安全扫描器根据 CVSS 分数报警，可能导致误操作。
• curl 项目因熟悉代码和使用情况能更好评估安全严重程度。
• CISA 补充 CVE 条目时因缺乏专业知识随意打分。
• 作者的 pull-request 及 CISA 后续调整分数的过程及无解释等情况。
• 强调 CVSS 非强制但用户仍期望有分数，且 Go Security 团队有类似问题。