最新版漏洞严重程度评级标准CVSS 4.0发布
2023-11-3 15:5:55 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

日前,事件响应和安全团队论坛(FIRST)正式发布其通用漏洞评分系统(Common Vulnerability Scoring System)的最新一代版本CVSS v4.0评分标准,距离上一次主要版本CVSS v3.0发布已经过去了八年。

CVSS是一种用于评估软件安全漏洞严重性的标准化方法,通过多个维度(如可利用性、对机密性、完整性、可用性和所需权限的影响等)为漏洞分配数值分数或定性表示(如低、中、高和严重),较高的分数通常意味着更严重的漏洞。CVSS评分标准为企业以及各机构提供了一种量化的风险评估工具,有助于优先处理安全威胁,它提供了一种一致的方式来评估漏洞的影响,并能够在不同系统和软件之间进行比较。

据了解,本次修订后的评分系统提供了更细粒度的基本指标,消除了下游评分的不确定性,简化了威胁指标,并增强了评估特定环境安全要求和补偿控制措施的有效性。此外,还添加了几个用于漏洞评估的补充指标,如可自动化(可蠕虫攻击)、恢复(弹性)、价值密度、漏洞响应工作量和供应商紧迫性。

CVSS v4.0的另外一个重要增强功能是其相较前版本而言对OT/ICS/IoT的适用性,安全指标和值被添加到了补充和环境指标组中。该最新版本还添加了新的命名方式——基本(CVSS-B)、基本+威胁(CVSS-BT)、基本+环境(CVSS-BE)、基本+威胁+环境(CVSS-BTE)。

FIRST首席执行官 Chris Gibson表示:在过去的 18 年中,CVSS 系统发展的很快,几乎每一个版本都赋予了人们更强的抵御网络犯罪的能力。我们对于 CVSS-SIG 开发 4.0 版本所付出的努力感到无比自豪。

参考链接:

https://www.first.org/cvss/v4-0/index.html

https://www.bleepingcomputer.com/news/security/new-cvss-40-vulnerability-severity-rating-standard-released/


文章来源: https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651126294&idx=2&sn=c243df1bd38eecd4de161968adc4159d&chksm=bd144ac58a63c3d3a1292360840666a89bf1536fe39d4a281583261ae728ca06b468f9c60894&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh