事件响应和安全团队论坛(FIRST)正式发布了CVSS v4.0,这是其在发布通用漏洞评分系统标准CVSS v3.0 八年后发布的新一版标准。
CVSS是一个用于评估软件安全漏洞严重性的标准化框架,用于根据可利用性、对机密性的影响、完整性、可用性和所需特权的影响分配数值分数或定性表示(例如低、中、高和严重),分数越高表示更严重的漏洞。
这份标准有助于优先考虑对安全威胁的响应,并提供了一种统一的方法来评估漏洞的影响,并比较不同系统和软件之间的风险。
最新版本的CVSS 4.0旨在为行业和公众提供更高保真度的漏洞评估。
FIRST表示:“修订后的标准为消费者提供了更细粒度的基本指标,消除了下游评分的模糊性,简化了威胁指标,提高了评估特定环境安全需求和补偿控制的有效性。”
该标准的最新修订通过提供几个漏洞评估补充指标来解决前一版本中的一些缺点,例如安全性 (S)、可自动化 (A)、恢复 (R)、价值密度 (V)、漏洞响应工作 (RE) 和提供商紧迫性 (U)。
“CVSS v4.0的一个关键增强功能是对OT/ICS/IoT的额外适用性,在补充和环境指标组中添加了安全指标和值。”
最新版本还添加了新的命名法,包括基础指标 (CVSS-B)、基础指标 + 威胁指标 (CVSS-BT)、基础指标 + 环境指标 (CVSS-BE) 和基础指标 + 威胁指标+ 环境指标 (CVSS-BTE) 严重性等级。
FIRST表示,这个想法是“强化CVSS不仅仅是基本分数的概念”,并补充说“只要显示或传达CVSS数字值,就应该使用这种命名法。“CVSS基本分数应辅以对环境的分析(环境指标)以及可能随时间变化的属性(威胁指标)。
了解更多通用漏洞评分系统 4.0 版规范文档:
参读链接:
