最新CVSS 4.0漏洞嚴重性評級標準釋出

Editor發表於2023-11-02

11月2日,事件響應和安全團隊論壇(FIRST)發推表示CVSS v4.0評分標準正式釋出,這是其通用漏洞評分系統(Common Vulnerability Scoring System)的最新一代版本,距離上一次主要版本CVSS v3.0釋出已經過去了八年。


最新CVSS 4.0漏洞嚴重性評級標準釋出


CVSS是一種用於評估軟體安全漏洞嚴重性的標準化方法,透過多個維度(如可利用性、對機密性、完整性、可用性和所需許可權的影響等)為漏洞分配數值分數或定性表示(如低、中、高和嚴重),較高的分數通常意味著更嚴重的漏洞。


CVSS評分標準為企業以及各機構提供了一種量化的風險評估工具,有助於優先處理安全威脅,它提供了一種一致的方式來評估漏洞的影響,並能夠在不同系統和軟體之間進行比較。


FIRST表示,修訂後的評分系統提供了更細粒度的基本指標,消除了下游評分的不確定性,簡化了威脅指標,並增強了評估特定環境安全要求和補償控制措施的有效性。此外,還新增了幾個用於漏洞評估的補充指標,如可自動化(可蠕蟲攻擊)、恢復(彈性)、價值密度、漏洞響應工作量和供應商緊迫性。


CVSS v4.0的另外一個重要增強功能是其相較前版本而言對OT/ICS/IoT的適用性,安全指標和值被新增到了補充和環境指標組中。該最新版本還新增了新的命名方式——基本(CVSS-B)、基本+威脅(CVSS-BT)、基本+環境(CVSS-BE)、基本+威脅+環境(CVSS-BTE)。


可透過此連結瞭解詳情:https://www.first.org/cvss/v4-0/index.html



編輯:左右裡

資訊來源:FIRST、X

轉載請註明出處和本文連結

相關文章