CVSS 4.0 学习笔记
通用漏洞评分系统(CVSS)捕获了主要技术软件、硬件和固件漏洞的特征。其输出包括数字分数,表明与其他漏洞。
以下因素可能包括但不限于:监管要求、客户数量受影响、因违约造成的金钱损失、生命或财产受到威胁,或潜在漏洞的声誉影响。这些因素在CVSS评估范围之外。
CVSS的好处包括提供标准化供应商和平台无关的漏洞评分方法。这是一个开放的框架,为用于以下目的的个人特征和方法提供透明度得出分数。
CVSS 4.0由四个度量组组成:基础、威胁、实际环境相关和供应类型指标。
基本分数反映了漏洞的严重性其内在特性随时间变化是恒定的,并假设跨不同部署环境的合理最坏情况影响。它是由两组指标组成:可利用性指标和影响指标。
前者反映了黑客利用漏洞的难度,后者反映了漏洞对于系统的影响。
攻击方式,攻击复杂性,攻击要求,所需权限,用户交互是衡量可利用性的评价范畴。
简单的说对应了潜在的攻击从何种网络条件,是否需要专业知识,需要何种系统权限,是否需要用户协助。
影响指标表明了系统收到攻击后,会对系统产生何种影响,或后续影响。
如保密性,完整性,可用性。
威胁指标用来表明是否已有相关公开事件或技术验证等方式来对被评估漏洞进行利用。
实际环境相关指标允许根据实际环境修改之前的评分。
供应类型指标。
分为安全,自动化,紧急程度,回收率,值密度,脆弱性响应工作等内容,更多的是对指定设备,或某一供应商而言的评价指标。
接下来我们结合官