Como priorizar vulnerabilidades além do CVSS

CVSS é um bom ponto de partida, mas não captura o contexto do seu negócio. Para priorizar de verdade, considere:

• Exposição: ativo é internet-facing? Autenticação é fraca?
• Criticidade do ativo: receita, reputação, compliance.
• Exploitabilidade: PoC pública, automação, baixo atrito.
• Compensações: WAF, rate limit, monitoramento.

Monte um score composto: prioridade = CVSS * exposição * criticidade * exploitabilidade / compensações. Documente critérios e socialize com engenharia.

Resultado: foco no que realmente queima agora, sem deixar dívidas técnicas crescerem.