低可发现性并不一定意味着“默默无闻的安全”。这可能只是意味着该漏洞深藏在很少被调查的部分功能中。这也可能意味着发现需要一个非常狭窄的极端案例，以至于即使最初的发现也不太可能发生。这样的例子是Dirty COW和Spectre/Meltdown，这两者都花了将近十年的时间才被注意到。

另一方面，低可发现性并不一定意味着低优先级。如果报告了具有低可发现性的漏洞，则应考虑其他因素 - 例如影响和易于利用 - 在确定适当的响应时。事实上，这些考虑正是存在 DREAD 和 CVSS 等风险评级分数的原因。然而，正如评论中所讨论的，“可发现性”可能仅在私人披露的背景下才有意义。如果漏洞已经公开，则可发现性基本上是 100%，不再是相关考虑因素。

我站在不喜欢使用可发现性的一边。它的定义很差，对于任何给定的定义，人们都特别不擅长猜测它的度量。

存在一定的时间和注意力，每个软件都容易受到攻击，并且每个漏洞，包括您不知道自己拥有的漏洞，都是可以发现的。

有些人真正了解他们的攻击面和他们的威胁行为者，也许可以很好地估计可发现性的一些含义，但这并不常见，而且很容易感到惊讶。

我观察到组织有可怕的漏洞隐藏在明显的视线中，永远不会受到攻击，也许是因为总是有较低的悬而未决的果实。

此外，我观察到许多高管在直觉“可发现性”衡量标准时会想到 - 如果我们因此而受到损害，那对我来说有多糟糕，其中一个范围是 Equifax（失去你的工作和其他一切)，而另一端是糟糕的，对不起，做生意的成本。这种直觉本身不一定是确定优先级的坏方法，但它与“可发现性”的合理定义无关。

所以我认为它不应该发挥作用。

是的。虽然 DREAD 可能已经过时，但其他模型包含类似的概念并更严格地定义它们。例如，在 FAIR 中，漏洞方面被确定为威胁能力与难度的比率，其中威胁能力意味着您的特定威胁的能力（范围为 1 到 100），而难度意味着它需要克服的障碍成功（从 1 到 100 分）。您需要大量知识才能发现可利用的弱点这一事实会增加难度。

可发现性被正确地从 DREAD 中删除的原因是它是风险子方面的子方面的众多因素之一。它不配获得它在 DREAD 中的第一名。低可发现性会击倒低级别的攻击者，而对更有技能的攻击者几乎没有影响。

此外，DREAD 是一种定性评估方法。因此，即使任何类别中的一两个点都可以将结果转移到不同的“盒子”中，从而进一步夸大效果。在适当的统计或定量模型中，效果要渐进得多。