Brilhante, Maria de FátimaPestana, DinisPestana, Pedro DuarteRocha, Maria LuísaSequeira, Fernando2026-01-082026-01-082025Brilhante, M.F., Pestana, D., Pestana, P.D., Rocha, M.L., Santana, M. & Sequeira, F. (2023). Metrologia e a Transição Digital: Medição da Severidade de Vulnerabilidades e Risco de Exploração. Medições e Ensaios, n 17, 4-35, SPMET.2182-5424http://hdl.handle.net/10400.2/20708A transição digital torna desejável normalizar a medição do risco associado às vulnerabilidades, fundamental para a priorização das necessidades de remediação ou mitigação, seja patch ou workaround, e é um desafio para a evolução da Metrologia no que se refere a meios auxiliares de medições virtuais. Torna também desejável aperfeiçoar as métricas usadas e sua utilização, nomeadamente no que se re- fere a reavaliação, se possível automática, da remediação do risco ao longo do tempo após descoberta e divulgação da vulnerabilidade. O CVSS — Common Vulnerability Scoring System usa métricas base, métricas temporais e métricas ambientais para calcular scores com o objetivo de priorizar as necessidades de correção das vulnerabilidades. Porém é estático, as métricas temporais, facultativas e pouco usadas, não estão preparadas para lhe conferir potencialidades dinâmicas, que são o ponto forte do EPSS — Exploit Prediction Scoring System, que surgiu em 2021. Fazemos uma avaliação crítica da evolução da versão 2 para a versão 3.1 do CVSS e de propostas de alteração das suas métricas temporais no desiderato de tornar o sistema dinâmico. O enquadramento de variáveis do ciclo de vida de vulnerabilidades na teoria dos valores extremos, eventualmente sujeitos a filtragem geométrica, sugere modelações alternativas (Geral de Valores Extremos, Pareto Generalizada, Log-logística) ao tradicional ajustamento com Pareto ou com Lognormal na procura de metodologias racionais de alteração do cálculo de modificações da pontuação do CVSS. Por outro lado abordamos a possibilidade de usar aprendizagem de máquina para reavaliação simples da medição da severidade ao longo do tempoporVulnerabilidadesCVSSMétricas CVSSEPSSRisco de ExploraçãoCiclo de Vida de Vulnerabilidadesjournal article